Ctrl+K

Mindworm: gdy cyberprzestępcy sięgają po twoje myśli

Mindworm: gdy cyberprzestępcy sięgają po twoje myśli#

Autor: Martyna Kusak, Łukasz Szoszkiewicz

Informacje podstawowe o stanie faktycznym#

Podmioty:

  • CybSec Sp. z o.o. – profesjonalna firma IT o ugruntowanej pozycji (siedziba: Warszawa, 200 pracowników), która zapewnia „najbezpieczniejsze na rynku” centra danych, serwery i usługi chmurowe

  • Neuro-Pol S.A. – wiodący dostawca rozwiązań wykorzystujących analizę danych neuronalnych (siedziba: Poznań, spółka notowana na GPW, 50 pracowników) Produkty Neuro-Pol:

  • NeuroInsight – bezprzewodowe słuchawki EEG z 2-kanałowym systemem pomiarowym

  • NeuroView – mobilna aplikacja umożliwiająca zdalny podgląd i interpretację sygnałów mózgowych na smartfonach Klienci końcowi (50,000 użytkowników):

  • Uczelnie wyższe i ośrodki badawcze (50 podmiotów), szpitale (40 podmiotów), firmy gamingowe (15 podmiotów), agencje marketingowe (25 podmiotów), indywidualni konsumenci (około 48,000 osób)

../../_images/image1.png

Rys. 1 Zestaw słuchawkowy NeuroInsight.#

../../_images/image2.png

Rys. 2 Aplikacja NeuroView.#

Moduł I#

Timeline wydarzeń#

10 września 2024, godz. 8:30 — System monitoringu CybSec wygenerował alert o wykryciu złośliwego oprogramowania na serwerach dystrybucji aktualizacji aplikacji NeuroView.

8:45 — Powiadomienie zarządu Neuro‑Pol o incydencie.

9:00 — Na największym polskim forum darknetowym „Cebulka” pojawił się plik zawierający próbkę wykradzionych danych neuronalnych wraz z ogłoszeniem o sprzedaży pełnej bazy.

Charakterystyka malware „MindWorm”#

Analiza wstępna wykazała, że do pakietu aktualizacyjnego został podłożony malware o roboczej nazwie MindWorm. Złośliwy kod:

  • Zainfekował serwery aktualizacyjne — atakujący uzyskał dostęp do środowiska, w którym przygotowywane są nowe wersje aplikacji NeuroView. Wykorzystano lukę w systemie zarządzania wersjami oprogramowania.

  • Rozprzestrzeniał się przez autoupdate — każdy użytkownik instalujący aktualizację NeuroView (w okresie 72 godzin przed wykryciem) pobierał wraz z nową wersją moduł MindWorm, który następnie replikował się na smartfonach i tabletach.

  • Przechwytywał i modyfikował dane EEG — malware przesyłał zapisane w chmurze dane neuronalne klientów na serwer kontrolowany przez atakujących (zlokalizowany prawdopodobnie w Rosji). Ponadto w niektórych przypadkach wprowadzał do nich fałszywe odczyty, co mogło mieć poważny wpływ na:

    • prowadzone badania naukowe nad chorobami neurodegeneracyjnymi,

    • terapię neurofeedback wykorzystywaną do leczenia epilepsji, ADHD i autyzmu,

    • badania kliniczne nad nowymi metodami terapii.

Szacowane szkody#

  • Straty finansowe CybSec: 800 000 PLN

  • Straty finansowe Neuro‑Pol: 1 200 000 PLN

  • Koszty powiadomień i zabezpieczeń dla klientów: 500 000 PLN

  • Łączne straty: 2,5 mln PLN

../../_images/image3.png

Rys. 3 Ogłoszenie na forum Cebulka o wykradzionych danych.#

Działania podjęte#

Uruchomiono działania zgodne z protokołem bezpieczeństwa, które zmierzały głównie do:

  • zatrzymania ataku i izolacji zainfekowanych systemów,

  • zminimalizowania skutków naruszenia,

  • odzyskania kontroli nad skompromitowanymi danymi,

  • powiadomienia wszystkich użytkowników o konieczności zmiany haseł i reinstalacji.

Pytania przewodnie#

  1. Czy cyberatak zawsze jest przestępstwem? Gdzie szukać informacji o kwalifikacji prawnej czynu?

  2. Czy i kto ma obowiązek zawiadomić organy ścigania o cyberataku?

  3. Jak ocenić wagę naruszenia ochrony danych osobowych?

Materiały do wykorzystania w module#

  • Cyfrowa karta zawierająca przykłady cyberprzestępstw i cyberincydentów (samodzielna identyfikacja zdarzeń jako mających i niemających znamion czynu zabronionego; poznanie cyberprzestępstw stypizowanych w polskim kodeksie karnym). link.

  • Formularz CERT NASK służący do zgłaszania incydentów przez osoby fizyczne i inne podmioty. link.

  • Wzór zawiadomienia o możliwości popełnienia przestępstwa.

Moduł II#

Rozwój sytuacji#

10 września 2025, godz. 11:30 — Na miejsce zdarzenia w siedzibie CybSec przy ul. Marszałkowskiej w Warszawie przyjechał zespół informatyków śledczych z Wydziału do Walki z Cyberprzestępczością Komendy Stołecznej Policji pod kierownictwem asp. sztab. Piotra Nowaka.

12:00 — Śledczy przystąpili do zabezpieczania dowodów elektronicznych, mając podejrzenie powiązania tej sprawy z serią podobnych cyberataków na firmy technologiczne w Europie Środkowej.

Konflikt prawny#

Stanowczo sprzeciwiły się tym działaniom:

Przedstawiciele CybSec

  • Dyrektor IT Marcin Kowalski — argumentował, że wyłączenie serwerów spowoduje całkowitą utratę danych klientów innych niż Neuro‑Pol.

  • Radca prawny, mec. Katarzyna Nowak — wskazywała na brak podstaw prawnych do tak inwazyjnych działań.

Przedstawiciele Neuro‑Pol

  • Prezes zarządu dr Anna Wiśniewska — obawiała się dalszych strat wizerunkowych.

  • Pełnomocnik spółki, mec. Tomasz Zieliński — argumentował, że działania śledczych opóźniają proces naprawy systemu, co prowadzi do dodatkowych strat finansowych szacowanych na 100 000 PLN za każdą godzinę przestoju.

Dylematy prawne#

Śledczy stoją przed dylematem:

  • potrzebują zabezpieczyć dowody przed ich utratą lub modyfikacją,

  • muszą działać szybko, gdyż atakujący mogą próbować zatrzeć ślady,

  • jednocześnie ich działania mogą spowodować dalsze szkody u niewinnych klientów.

Firmy argumentują:

  • każda minuta przestoju oznacza straty finansowe,

  • klienci tracą zaufanie do bezpieczeństwa usług,

  • konkurencja może wykorzystać sytuację do przejęcia klientów,

  • akcjonariusze Neuro‑Pol mogą domagać się odszkodowań.

Pytania przewodnie#

  1. Czy działania śledczych i firm mogą być wzajemnie wykluczające?

  2. Jak ocenić dotkliwość incydentu naruszenia ochrony danych osobowych?

  3. W sytuacji konfliktu interesów, czyje decyzje są prawnie wiążące?

  4. Jakie są granice uprawnień śledczych w zakresie zabezpieczania dowodów elektronicznych?

  5. Jak wygląda proces zabezpieczania dowodów elektronicznych?

  6. Kto ponosi odpowiedzialność za szkody powstałe w wyniku działań procesowych?

Zadania praktyczne#

  1. Przeprowadź ocenę dotkliwości naruszenia ochrony danych osobowych w oparciu o kartę ENISA.

  2. Przeprowadź prawny proces zabezpieczania dowodów elektronicznych na podstawie przygotowanej karty.

Materiały do wykorzystania#

  • Karta oceny dotkliwości naruszeń danych osobowych oparta na metodologii ENISA — praktyczne narzędzie do obiektywnej oceny przy użyciu trzech kryteriów: kontekstu przetwarzania, łatwości identyfikacji i okoliczności naruszenia. Wynik liczbowy odpowiada poziomowi dotkliwości (niski — bardzo wysoki).

  • Karta opisująca proces zabezpieczania dowodów elektronicznych opracowana na podstawie:

    • wyciągu z przepisów Kodeksu postępowania karnego,

    • podręcznika Rady Europy dotyczącego postępowania z dowodami elektronicznymi,

    • checklisty czynności technicznych.

Zawartość