Kibernetinio saugumo padėtis: 2026 m. sausio mėn. apžvalga

2026 m. sausio mėnuo pasižymėjo tikslinėmis atakomis prieš kritinę infrastruktūrą ir didelio masto jautrių aeronautikos duomenų atskleidimu. Šie įvykiai vyko greta nuolatinių išpirkos reikalaujančių kenkėjiškų programų grėsmių, programuotojų įrankių išnaudojimo, naujų kenkėjiškų programų platformų atsiradimo bei kritinių pažeidžiamumų atskleidimo.

Svarbiausi mėnesio incidentai – koordinuotas atsinaujinančios energetikos infrastruktūros sabotažas Lenkijoje ir reikšmingi Europos kosmoso agentūros (ESA) duomenų nutekėjimai.

Daugiau apie SOCshare

Koordinuotas sabotažas: Lenkijos energetikos sektorius

Svarbiausias šio laikotarpio incidentas buvo pažangus, daugiaetapis išpuolis, nukreiptas prieš Lenkijos paskirstytus energijos išteklius ir pramoninę infrastruktūrą, kuris pasiekė savo destruktyvią fazę 2025 m. gruodžio 29 d. o jos padarinių šalinimas tęsėsi visą 2026 m. sausį.

Tikslai

Vienu metu smogta daugiau nei 30 vėjo ir saulės jėgainių, didelei kombinuotosios šilumos ir elektros energijos gamybos (CHP) jėgainei, aptarnaujančiai beveik 500 000 klientų, ir privačiai gamybos įmonei.

Mechanizmas

Užpuolikai pirminę prieigą įgijo per internetą prieinamus „FortiGate VPN“ ir ugniasienės įrenginius. Įsibrovę į vidų, jie įdiegė destruktyvias kenkėjiškas programas „DynoWiper“ ir „LazyWiper“, skirtas sisteminių failų perrašymui ir pramoninių valdiklių sugadinimui.

Poveikis

Atakos metu nukentėjusių pastočių operatoriai prarado sistemų matomumą ir nuotolinio valdymo galimybes. Nors elektros gamyba ir šilumos tiekimas nebuvo sutrikdyti, šis incidentas laikomas pirmuoju didelio masto, koordinuotu išpuoliu prieš nacionalinio elektros tinklo paskirstytuosius energijos išteklius.

Galimi vykdytojai

CERT Polska šią veiklą priskyrė grėsmių grupei „Static Tundra“, remdamasi infrastruktūros ir taktikos sutapimais su ankstesnėmis šnipinėjimo operacijomis energetikos sektoriuje.

Europos kosmoso agentūros (ESA) duomenų nutekėjimas (iš viso 700 GB)

ESA susidūrė su dviem reikšmingais, skirtingais duomenų pažeidimais, kurie įvyko greitai vienas po kito ir dėl kurių buvo pavogti didžiuliai techniniai ir plėtros duomenų rinkiniai.

„Plėtros“ pažeidimas (200 GB): grupė „888“ iš išorinių bendradarbiavimo serverių išgavo apie 200 GB duomenų. Tai apėmė vidinį šaltinio kodą, CI/CD konfigūracijas, prieigos raktus ir JIRA/Bitbucket saugyklas.

„Techninis“ pažeidimas (500 GB): Grupė „Scattered Lapsus$ Hunters“ paskelbė apie 500 GB itin jautrios techninės dokumentacijos vagystę. Užpuolikai dar 2025 m. rugsėjį pasinaudojo viešai žinomu pažeidžiamumu ir vėliau pasiekė vidinę platformą, naudojamą ESA misijų partnerių.

Poveikis aeronautikai: Nutekėję duomenys apėmė konfidencialias specifikacijas ir misijų planus, susijusius su tokiomis programomis kaip „Next Generation Gravity Mission“ (NGGM) ir „Earth Observation“ (EO). Ypač reikšminga tai, kad tarp duomenų buvo ir privačių aeronautikos bendrovių – „SpaceX“, „Airbus“ bei „Thales Alenia Space“ – techninė informacija ir kita intelektinė nuosavybė .

Kas dar įvyko 2026 m. sausio mėn.?

Nauja kenkėjiškų programų platforma – „VoidLink“: Atsirado pažangi, „debesims“ pritaikyta Linux kenkėjiškų programų platforma „VoidLink“, parašyta „Zig“ programavimo kalba ir priskiriama Kinijos kilmės kūrėjams. Ji sukurta šiuolaikinei infrastruktūrai – geba atpažinti AWS, Azure ir GCP aplinkas bei konteinerines sistemas, tokias kaip Kubernetes ir Docker. Architektūra paremta moduliniu Plugin API (įkvėptu „Cobalt Strike“), leidžiančiu naudoti daugiau nei 37 specializuotus modulius žvalgybai, prisijungimo duomenų vagystei ir konteinerių izoliacijos pažeidimui.
Operacija „MaliciousCorgi“: Užpuolikai paskelbė du dirbtinio intelekto kodavimo plėtinius – „ChatGPT – 中文版“ ir „ChatMoss“, kurios apsimetė legitimiais produktyvumo įrankiais. Kenkėjiška programa galėjo vienu metu išsiųsti iki 50 darbo aplinkos failų į Kinijoje esančius serverius. Potencialiai buvo paveikta daugiau nei 1,5 mln. vartotojų, nutekėjo nuosavybinis kodas, vidinės konfigūracijos ir prisijungimo duomenys.
Pažeidžiamumai automatizavime: „n8n“ platformoje nustatytos kritinės spragos (CVE-2026-1470 ir CVE-2026-0863), leidžiančios apeiti saugią izoliaciją (angl. sandbox) ir leisti komandas sistemose (RCE).

Svarbiausi dalykai

IT ir OT

Lenkijos pavyzdys įrodo, kad silpna korporatyvinio IT sektoriaus apsauga (pvz., VPN be MFA) dabar yra tiesiausias kelias į fizinį pramoninės infrastruktūros sabotažą.

Programuotojų įrankių išnaudojimas

IDE plėtiniai ir CI/CD grandinės tapo prioritetiniais pramoninio šnipinėjimo vektoriais, leidžiančiais pasiekti prisijungimo duomenis ar intelektinę nuosavybę.

Šantažas be šifravimo

Pastebima tendencija, kai įsilaužėliai nešifruoja duomenų, kaip įprasta, ir fokusuojasi tik į duomenų vagystę bei viešą spaudimą.

Žvilgsnis į ateitį

Organizacijos turėtų teikti pirmenybę:

Energetikos atsparumui: Būtina stiprinti paskirstytųjų išteklių tinklo segmentaciją ir užtikrinti griežtą prieigos kontrolę prie visų OT įrenginių.

Nuolatinė stebėsena: Organizacijos turi pereiti prie realaus laiko pažeidžiamumų valdymo, nes laikas nuo spragos paviešinimo iki jos išnaudojimo gali būti ir kelių valandų trumpumo.

IDE kontrolė: Rekomenduojama įdiegti griežtus leidžiamų sąrašus (angl. allow-lists) programuotojų naudojamiems įrankiams ir stebėti išeinantį srautą iš kūrimo aplinkų.

2026 m. sausio mėn. parodė, kad IT pažeidžiamumai dabar yra pagrindinis kelias į kritinę infrastruktūrą, o programuotojų įrankiai tapo labai vertingais atakų vektoriais, todėl organizacijos turi pereiti nuo reaktyvaus skenavimo prie nuolatinės stebėsenos ir griežtų politikų.

Šaltiniai