Remiantis CERT-EU Kibernetiniu biuleteniu 26-01, kuriame buvo analizuotos 368 atvirojo šaltinio ataskaitos šį mėnesį, aplinką dar labiau apsunkino geopolitinė įtampa:  

1. Sankcijos ir atribucija. Gruodžio 15 d. ES Taryba paskelbė sankcijas 12 asmenų ir dviem subjektams, susijusiems su Rusijos hibridinėmis grėsmėmis. Tai apėmė GRU 29155 padalinio narius („Cadet Blizzard”), atsakingus už propagandos skleidimą, GPS trukdžius ES oro erdvėje ir sabotažo operacijas prieš NATO sąjungininkus.  

2. Su Kinija susietas šnipinėjimas. Grupė „Ink Dragon” išplėtė savo veiklą, taikydamasi į Europos vyriausybines struktūras sudėtingomis tikslinio sukčiavimo el. paštu kampanijomis. 

3. Kritinės infrastruktūros sabotažas. Trikdančios atakos buvo nukreiptos prieš Prancūzijos pašto paslaugas ir Rumunijos vandens tiekimo sistemas. Šie incidentai atskleidžia ketinimą mažinti visuomenės pasitikėjimą.  

4. Finansinis sukčiavimas el. paštu. Atsirado naujas, itin sudėtingas sukčiavimo įrankių rinkinys „Spiderman”, leidžiantis automatizuotai apsimesti pagrindiniais Europos bankais.  

Žvilgsnis į ateitį ir pagrindinės išvados  

Organizacijos, žengdamos į 2026 metus, privalo teikti pirmenybę:  

• Sistemų grūdinimui ir paslaugų izoliavimui: Organizacijos turi atlikti visų internetu prieinamų paslaugų auditą. Jei paslauga ar protokolas (pvz., „MongoDB”) nėra griežtai reikalingas verslo operacijoms, jis turėtų būti išjungtas arba apribotas patikimiems IP adresų diapazonams. Atakų paviršiaus mažinimas, nors ir nepakeičia saugos naujinimų diegimo, yra veiksminga ir svarbi priemonė.  

• Prisijungimo duomenų ir paslapčių rotacijai: Atsižvelgiant į tai, kad „MongoBleed” sudarė sąlygas atmintyje saugomų paslapčių vagystei, rekomenduojama atlikti API prieigos raktų, paslaugų prieigos raktų ir administracinių prisijungimo duomenų visuotinę rotaciją. Statiniai prisijungimo duomenys turėtų būti pakeisti trumpalaikiais, dinamiškai generuojamais prieigos raktais ten, kur tai įmanoma.  

• Saugos naujinimų gyvavimo ciklo valdymui: 30 valandų laiko tarpas tarp „React2Shell” atskleidimo ir pirmojo koncepcijos įrodymo įrodo, kad „mėnesinio” saugos naujinimų diegimo ciklas yra pasenęs. Organizacijos turi automatizuoti skubių saugos naujinimų diegimą, skirtų kritinio pavojingumo programų sistemų pažeidžiamumams.  

• Vartotojų informuotumas išlieka toks pat svarbus kaip visada: Šiuolaikinės „sukčiavimas kaip paslauga” (PhaaS) platformos, tokios kaip „Spiderman” įrankių rinkinys, efektyviai neutralizuoja techninius valdiklius perimdamos gyvus sesijos prieigos raktus ir daugiafaktorinio autentifikavimo (MFA) kodus realiuoju laiku. Kadangi techninė apsauga apeinama tą akimirką, kai prasideda prisijungimo procesas, žmogiškasis budrumas – suklastoto domeno pastebėjimas prieš pirmąjį paspaudimą – yra vienintelis būdas sustabdyti „Priešininko viduryje” (AiTM) ataką.  

Šaltiniai  

• CERT-EU: Cyber Brief 26-01 (December 2025)  
• Unit42: Exploitation of Critical Vulnerability in React Server Components  
• Cloudflare: React2Shell and related RSC vulnerabilities threat brief: early exploitation activity and threat actor techniques  
• Google Threat Intelligence: Exploitation of React2Shell (CVE-2025-55182)  
• Wiz Research: MongoBleed: Critical MongoDB Vulnerability Analysis

Šis straipsnis – dalis „SOCshare“ projekto, kuriuo siekiama skatinti efektyvesnį dalijimąsi informacija apie kibernetines grėsmes ir jų aptikimo būdus. Projektą iš dalies finansuoja Europos Sąjunga. Išsakytos nuomonės ir požiūriai yra tik autorių ir nebūtinai atspindi Europos Sąjungos ar Europos kibernetinio saugumo kompetencijos centro požiūrį ir nuomonę. Nei Europos Sąjunga, nei Europos kibernetinio saugumo kompetencijos centras negali būti laikomi atsakingais už jas.