De seneste angreb angiveligt udført af den kinesiske gruppe Salt Typhoon på virksomheder i telekommunikation og lande – blandt dem ville være Brasilien – satte hele verden i alarm. Nyheder taler om niveauet af sofistikation af indtrængningerne og, hvad der er mere alarmerende – de kriminelle, teoretisk, stadig ville være inden for netværkene af disse virksomheder
De første oplysninger om denne gruppe dukkede op i 2021, da Threat Intelligence-teamet hos Microsoft udgav oplysninger om hvordan Kina ville have infiltreret sig succesfuldt i flere internetstjenesteudbydere, for at overvåge virksomhederne – og indfange data. Et af de første angreb udført af gruppen var fra et brud på routere Cisco, som tjente som en gateway for at overvåge internetaktiviteter foregående ved hjælp af disse enheder. Da en gang at adgangen blev opnået, hackerne formåede at udvide deres rækkevidde til yderligere netværk. I oktober 2021, Kaspersky den bekræftede at cyberkriminelle allerede havde udvidet angrebene til andre lande som Vietnams, Indonesien, Thailand, Malaysia Egypten, Etiopien og Afghansistan.
Hvis de første sårbarheder allerede var kendt siden 2021 – hvorfor vi stadig blev angrebet? Svaret er, netop, i hvordan vi håndterer disse sårbarheder i den dag til dag
Voldtægtsmetode
Nu, i de sidste dage, oplysninger fra den amerikanske regering bekræftede en række angreb på ⁇ virksomheder og lande ⁇ – der ville være sket fra kendte sårbarheder i en VPN-applikation, af fabrikanten Ivanti, på Fortinet Forticlient EMS, brugt til at gøre overvågningen på servere, i firewalls Sophos og også i servere Microsoft Exchange.
Microsoft's sårbarhed blev offentliggjort i 2021 når, lige i sekvensen, virksomheden har offentliggjort korrektionerne. Fejlen i firewalls Sophos blev offentliggjort i 2022 – og korrigeret i september 2023. Problemerne fundet i Forticlient blev gjort offentlige i 2023, og korrigeret i marts 2024 – samt som de af Ivanti, der også havde deres CVEs (Common Vulnerabilities and Exposures) registreret i 2023. Virksomheden, imidlertid, kun fikserede sårbarheden i oktober sidste.
Alle disse sårbarheder tillod at kriminelle let kunne infiltrere sig i de angrebne netværk, ved hjælp legitimt legitimations- og softwares, hvad der gør detektion af disse indtrængninger næsten umuligt. Fra den tid, kriminelle bevægede sig lateralt inden disse netværk, implanterende malwares, der hjalp i arbejdet med spionage af langsigtet.
Hvad der er alarmerende i de seneste angreb er at metoderne anvendt af hackerne i gruppen Salt Typhoon er konsistente med de langsigtede taktikker observeret i tidligere kampagner tilskrevet til kinesiske statslige agenter. Disse metoder omfatter brugen af legitime legitimationer til at maskere ondsindede aktiviteter som rutinemæssige operationer, vanskeliggør identificeringen ved konventionelle sikkerhedssystemer. Fokuset på softwares bredt anvendt, som VPNs og firewalls, viser et dybtgående kendskab til sårbarheder i korporative og regeringsmiljøer
Problemet med sårbarheder
De udnyttede sårbarheder afslører også et bekymrende mønster: forsinkelser i anvendelse af patches og opdateringer. På trods af korrektioner tilgængeliggjort af producenterne, den operationelle virkelighed af mange virksomheder vanskeliggør den øjeblikkelige implementering af disse løsninger. Kompatibilitetstests, behovet for at undgå forstyrrelser i missionskritiske systemer; og, i nogle tilfælde, manglen på bevidsthed om alvoren af fejlene bidrager til at øge eksponeringsvinduet
Dette spørgsmål er ikke kun teknisk, men også organisatorisk og strategisk, involverende processer, prioriteter og, mange gange, korporativ kultur
Et kritisk aspekt er at mange virksomheder behandler anvendelsen af patches som en ⁇ sekundær ⁇ opgave i forhold til den operationelle kontinuitet. Dette skaber det såkaldte downtime-dilemma, hvor lederne skal beslutte mellem den øjeblikkelige afbrydelse af tjenester for at opgradere systemer og den potentielle risiko af en fremtidig udnyttelse. Imidlertid, de seneste angreb viser, at at udsætte disse opgraderinger kan komme meget dyrere, både i finansielle og reputationsmæssige termer
Derudover, kompatibilitetstestene er en almindelig knibe. Mange korporative miljøer, især i sektorer som telekommunikation, opererer med en kompleks kombination af arvede og moderne teknologier. Dette gør at hver opdatering kræver en betydelig indsats for at sikre at patch ikke forårsager problemer på afhængige systemer. Denne type omhu er forståelig, men kan være mindsket med vedtagelsen af praksis som mere robuste testmiljøer og automatiserede processer af validering
Et andet punkt der bidrager til forsinkelsen i anvendelsen af patches er manglen på bevidsthed om alvoren af fejlene. Mange gange, IT-teams undervurderer betydningen af en specifik CVE, især når han ikke er bredt udnyttet indtil nu. Problemet er at vinduen af mulighed for angriberne kan åbne sig før organisationerne indser alvoren af problemet. Dette er et felt hvor intelligens af trusler og klar kommunikation mellem teknologileverandører og virksomheder kan gøre hele forskellen
Endelig, virksomhederne skal vedtage en mere proaktiv og prioriteret tilgang til management af sårbarheder, det som omfatter automatiseringen af patchingprocesserne, segmenteringen af netværkene, begrænser impactet af mulige invasioner, routinen af regelmæssigt simulere mulige angreb, hvad der hjælper med at finde de potentielle ⁇ svage punkter ⁇.
Spørgsmålet om forsinkelser i patches og opdateringer er ikke kun en teknisk udfordring, men også en mulighed for organisationerne at transformere deres tilgang til sikkerhed, gørende den mere smidig, tilpasselig og modstandsdygtig. Overalt, denne modus af operation er ikke ny, og hundredvis af andre angreb er gennemført med den sammedriftsmetode, fra fra sårbarheder, der er brugt som indgangsport. At drage nytte af denne lektie kan være forskellen mellem at være offer eller være forberedt til det næste angreb
