SOCshare: 2026 m. birželio kibernetinio saugumo apžvalga

Icon

Seni slaptažodžiai, apleisti paketai ir įskiepiai

Birželį vienijanti tema – pasitikėjimas, kuriuo piktnaudžiaujama: seni slaptažodžiai, apleisti paketai ir įskiepiai, kuriais tikime vien todėl, kad jie visada veikė. Mėnesio svarbiausieji – „FortiBleed” su beveik 87 tūkst. sukompromituojamų „Fortinet” ugniasienių, ir „Arch Linux” AUR saugyklos užgrobimas, pavertęs per 400 paketų kenkėjiškos programos platinimo kanalu. Šalia jų – sėkmingas teisėsaugos smūgis „infostealer” ekosistemai, DI įrankių spragos ir Prancūzijos ultimatumas klasikinei kriptografijai. 

„FortiBleed“ ir „Atomic Arch“ atvejai

„FortiBleed“: 86 644 kompromituotos „Fortinet” ugniasienės 

Ryškiausias mėnesio atradimas priklauso SOCRadar tyrėjams, kurie per neapdairiai atvirą atakuotojų serverį pateko į aktyvios kampanijos, pavadintos „FortiBleed”, vidų. Joje – net 86 644 (detektuota identifikuota per 194 šalis) „Fortinet“ ugniasienių ir VPN įrenginių prisijungimai: nuo bankų ir telekomunikacijų operatorių iki ligoninių, universitetų ir vyriausybinių įstaigų. 

Įdomiausia, kad tai ne nulinės dienos ataka. Nuo bent vasario mėnesio veikianti kampanija remiasi dviem viena kitą maitinančiomis stadijomis. Pirmoji – kredencialų pakartotinis naudojimas: iš ankstesnių „Fortinet” nutekėjimų ir „infostealer” žurnalų surinkti slaptažodžiai automatizuotai, be perstojo tikrinami prieš atvirus įrenginius. Antroji – pasyvus rinkimas: perimtas įrenginys paverčiamas pasiklausymo postu, kuris stebi pro jį einantį VPN srautą ir renka naujus kredencialus, grįžtančius atgal į skenerį.  

Analizė atskleidė nepatogią tiesą: didelę dalį pavogtų prisijungimų sudarė bendrinės administratorių ir gamyklinės „Fortinet” sisteminės paskyros – daugybė organizacijų jų taip niekada ir nepakeitė, o ir slaptažodžiai liko nepakeisti net po ankstesnių nutekėjimų. SOCRadar kampaniją priskyrė „Lynx / INC” išpirkos reikalaujančių programų grupuotei, o vertinimas kategoriškas: į sąrašą patekusios organizacijos savo perimetrą turėtų laikyti jau kompromituotu. 

„Atomic Arch“: per 400 užgrobtų „Arch Linux” paketų 

Antroji didelė istorija smogė kūrėjų bendruomenei. Nuo birželio 11 d. atakuotojai bendruomeninėje „Arch User Repository” (AUR) saugykloje perėmė daugiau nei 400 apleistų paketų – tokių, kurių prižiūrėtojai seniai pasitraukę, todėl juos „įsivaikinti” gali bet kas. Kad pakeitimai nekeltų įtarimų, jie suklastojo „git” istoriją, imituodami ilgamečio prižiūrėtojo darbą, o į paketų kūrimo scenarijus įterpė kenkėjišką kodą. Rezultatas: kiekvienas tokį paketą susikompiliavęs kompiuteris nepastebimai įsidiegdavo „infostealer”. Oficialios „Arch Linux” saugyklos nenukentėjo – išnaudota ne programinė spraga, o pats AUR pasitikėjimo modelis. 

Rust kalba parašytas kodas, taikęsi būtent į kūrėjų turtą: naršyklių slapukus ir sesijų žetonus, „GitHub”, „npm” bei SSH raktus, „Docker” ir „OpenAI” prieigos duomenis. Root teisėmis paleistas jis papildomai įdiegdavo eBPF rootkit’ą, slepiantį jo procesus nuo standartinių įrankių – todėl vien paketo pašalinimo nepakanka, užkrėstą sistemą rekomenduojama perdiegti iš patikimos laikmenos. Kampanija „Sonatype” tyrėjų buvo pavadinta „Atomic Arch”. 

Kas dar vyko 2026 m. birželio mėn.?

Operacija „Endgame“
Operacija „Endgame“
Europolas su partneriais birželio 24 d. paskelbė sunaikinę „SocGholish", „Amadey" ir „StealC" infrastruktūrą - 326 serverius ir 142 domenus, o „SocGholish" platinimui naudotos beveik 15 tūkst. užkrėstų svetainių buvo išvalytos. Atgauta apie 27 mln. pavogtų prisijungimo duomenų, o nusikaltėliams užblokuota per 41 mln. EUR vertės kriptoturto. Smūgis taikytas į pradinės prieigos grandį - būtent tokie pavogti prisijungimų duomenys tampa „žaliava" vėlesnėms išpirkos atakoms.
„Instagram" DI asistento spraga
„Instagram" DI asistento spraga
Tyrėjų ZachXBT ir „Dark Web Informer" duomenimis, pašaliniai asmenys galėjo „Meta" DI asistentą įtikinti persiųsti slaptažodžio atstatymo kodus žinodami tik aukos paskyros vardą. Taip perimtos paskyros buvo perparduodamos „Telegram" kanaluose. „Meta" spragą užlopė ir patvirtino, kad jos sistemos nebuvo pažeistos, o dviguba autentifikacija (MFA) apsaugotos paskyros nenukentėjo
Kenkėjiški „JetBrains" įskiepiai
Kenkėjiški „JetBrains" įskiepiai
„Aikido“ tyrėjai „JetBrains“ prekyvietėje aptiko 15 įskiepių (apie 70 tūkst. įdiegimų), kurie apsimetė DI kodavimo asistentais ir veikė kaip žadėta, tačiau vartotojo įvestą DI tiekėjo API raktą tyliai persiųsdavo į atakuotojų serverį. Įtariama, kad pavogti raktai vėliau buvo perparduodami mokantiems to paties įskiepio klientams.
Prancūzijos kvantinis terminas
Prancūzijos kvantinis terminas
Kibernetinio saugumo agentūra ANSSI paskelbė nuo 2027 m. nebesertifikuosianti saugumo produktų be kvantams atsparaus šifravimo, o verslui rekomendavo iki 2030 m. pirkti tik tokius. Kadangi sertifikatas privalomas valstybinėse įstaigose ir kritinėje infrastruktūroje, tai de facto senojo šifravimo pabaiga - atsakas į grėsmę „surink dabar, iššifruok vėliau“.

Žvilgsnis į ateitį 

Organizacijos turėtų teikti pirmenybę: 

  • Patikrinkite slaptažodžius ir įjunkite MFA: peržiūrėkite visų paslaugų bei serverių prisijungimus, pašalinkite silpnus ir pakartotinai naudojamus slaptažodžius, pervardinkite arba išjunkite gamyklines paskyras. Dviguba autentifikacija privaloma visur, kur įmanoma, o valdymo sąsajos neturėtų būti viešai pasiekiamos. „FortiBleed” parodė, kad atakuotojams dažnai užtenka senų, taip ir nepakeistų prisijungimų. 
  • Kontroliuokite įskiepius ir plėtinius: Nustatykite aiškias taisykles, pagal kurias darbuotojų naudojami programinės įrangos įskiepiai ir naršyklių plėtiniai būtų centralizuotai stebimi, tikrinami ir patvirtinami.  
  • Ribokite DI įrankių privilegijas: DI asistentai, gavę prieigą prie paskyrų valdymo ar kitų jautrių funkcijų, patys tampa socialinės inžinerijos taikiniu. Suteikite jiems tik minimalias būtinas teises ir reikalaukite papildomo tapatybės patvirtinimo prieš jautrius veiksmus. 
  • Pradėkite ruoštis kvantinei erai: Prancūzija nustatė konkretų terminą, ir kitos šalys greičiausiai paseks jos pavyzdžiu. Verta jau dabar inventorizuoti, kur ir kokia kriptografija naudojama, ir planuoti perėjimą prie kvantiniams kompiuteriams atsparių sprendimų. Frazė „surink dabar, iššifruok vėliau“ (angl. Harvest now, decrypt later) primena, kad šiandien užšifruoti duomenys nebūtinai bus saugūs rytoj.

Šaltiniai: 

Šis straipsnis – dalis „SOCshare“ projekto, kuriuo siekiama skatinti efektyvesnį dalijimąsi informacija apie kibernetines grėsmes ir jų aptikimo būdus. Projektą iš dalies finansuoja Europos Sąjunga. Išsakytos nuomonės ir požiūriai yra tik autorių ir nebūtinai atspindi Europos Sąjungos ar Europos kibernetinio saugumo kompetencijos centro požiūrį ir nuomonę. Nei Europos Sąjunga, nei Europos kibernetinio saugumo kompetencijos centras negali būti laikomi atsakingais už jas.

Kitos naujienos ir istorijos

Kas yra CTF ir kaip jį laimėti: pokalbis su Justu Kaminsku
Kas yra CTF ir kaip jį laimėti: pokalbis su Justu Kaminsku
SOCshare: 2026 m. gegužės kibernetinio saugumo apžvalga
SOCshare: 2026 m. gegužės kibernetinio saugumo apžvalga
SOCshare 2026 m. balandis: Adobe Acrobat Reader, Claude ir fišingas
SOCshare 2026 m. balandis: Adobe Acrobat Reader, Claude ir fišingas
SOCcare 2026 m. kovas: Malpeek - PYKSPA „dovanėlė“ foto salone
SOCcare 2026 m. kovas: Malpeek - PYKSPA „dovanėlė“ foto salone
SOCshare: Kibernetinio saugumo apžvalga - 2026 m. vasaris
SOCshare: Kibernetinio saugumo apžvalga - 2026 m. vasaris
SOCshare: Kibernetinio saugumo padėtis - 2026 m. sausio mėn. apžvalga
SOCshare: Kibernetinio saugumo padėtis - 2026 m. sausio mėn. apžvalga
SOCshare: kibernetinio saugumo grėsmių apžvalga 2025 m. gruodį
SOCshare: kibernetinio saugumo grėsmių apžvalga 2025 m. gruodį
Dažniausiai pasitaikantys mitai susiję su DORA reglamento įgyvendinimu mūsų praktikoje
Dažniausiai pasitaikantys mitai susiję su DORA reglamento įgyvendinimu mūsų praktikoje