Die jüngsten Angriffe angeblich durchgeführt von der chinesischen Gruppe Salt Typhoon an Telekommunikationsunternehmen und Länder – unter ihnen wäre das brasilien – ließ die ganze welt in alert. Nachrichtensprechen vom Level der Sophistication der Eindrücke und, was ist mehr alarmierend – die verbrecher, theoretisch, noch innerhalb der Netzwerke dieser Unternehmen wären
Die ersten Informationen über diese Gruppe erschienen in 2021, als das Threat Intelligence Team von Microsoft Informationen veröffentlichte darüber wie China sich angeblich erfolgreich in mehrere Internet-Service Provider eingedrungen hat, um die unternehmen zu beobachten – und erfassen data. Einer der ersten Angriffe durchgeführt von der Gruppe war von einer Verletzung in Cisco Router, die dienten als ein gateway zur Überwachung internetaktivitäten stattfindend über diese Geräte. Einmal daß der Zugang erlangt wurde, die Hacker schafften es ihre Reichweite zu zusätzlichen Netzwerken zu erweitern. Im Oktober 2021, die Kaspersky bestätigte dass die Cyberkriminellen bereits die Angriffe auf andere Länder wie Vietnam ausgeweitet hatten, Indonesien, Thailand, Malaysia Ägypten, Äthiopien und Afghanistan.
Ob die ersten Schwachstellen schon seit 2021 bekannt waren – warum wir noch angegriffen wurden? Die Antwort ist, gerade, in wie wir mit diesen Verletzlichkeiten im Tag an Tag umgehen
Vergewaltigungsmethode
Jetzt, in den letzten tagen, Informationen der US-Regierung bestätigten eine Reihe von Angriffen auf ⁇ Unternehmen und Länder ⁇ – die hätten geschehen von bekannten Sicherheitslücken in einer VPN-Anwendung, des Herstellers Ivanti, im Fortinet Forticlient EMS, verwendet um das Monitoring in Servern zu machen, in Firewalls Sophos und auch in Servern Microsoft Exchange.
Die Sicherheitslücke von Microsoft wurde 2021 veröffentlicht, als, gleich im Sequenz, das Unternehmen veröffentlichte die Korrekturen. Der Fehler in den Firewalls Sophos wurde 2022 veröffentlicht – und korrigiert im September 2023. Die Probleme gefunden in dem Forticlient wurden öffentlich geworden im 2023, und korrigiert im März 2024 – sowie wie die von Ivanti, die auch hatten ihre CVEs (Common Vulnerabilities and Exposures) registriert im 2023. Das Unternehmen, inzwischen, nur korrigierte die Vulnerabilität im letzten Oktober.
Alle diese Schwachstellen erlaubten es den Kriminellen leicht, sich in die angegriffenen Netzwerke zu infiltrieren, indem Credentials und Softwares legitim sind, was die Detektion dieser Eindrücke fast unmöglich macht. Von da an, die kriminellen bewegten sich seitlich innerhalb dieser netze, implementierend malwares, die geholfen im arbeit von spionage von langfristigen.
Was ist alarmierend in jüngsten Angriffen ist, dass die Methoden verwendet von den Hackern der Gruppe Salt Typhoon sind konsistent mit den langfristigen Taktiken beobachtet in früheren Kampagnen zugeschrieben an chinesischen staatlichen Agenten. Diese Methoden umfassen die Verwendung von legitimen Credentials, um bösartige Aktivitäten wie Routineoperationen zu maskieren, erschwerend die identifizierung durch konventionelle sicherheitssysteme. Der Fokus auf Softwares weit verbreitet verwendet, wie VPNs und firewalls, zeigt eine fundierte Kenntnis der Vulnerabilitäten in Unternehmens- und Regierungsumgebungen
Das Problem der Schwachstellen
Die ausgebeuteten Schwachstellen offenbaren auch ein besorgniserregendes Muster: Verspätungen in der Anwendung von Patches und Updates. Trotz der von den Herstellern bereitgestellten Korrekturen, die operative Realität vieler Unternehmen erschwert die unmittelbare Umsetzung dieser Lösungen. Kompatibilitätstests, die Notwendigkeit, Unterbrechungen in missionskritischen Systemen zu vermeiden; und, in einigen Fällen, das fehlen bewusstseins über die schwere der fehler tragen zu der erhöhung des expositionsfensters bei
Diese Frage ist nicht nur technisch, aber auch organisatorisch und strategisch, involvierend prozesse, Prioritäten und, oftmals, Unternehmenskultur
Ein kritischer Aspekt ist, dass viele Unternehmen die Anwendung von Patches als eine ⁇ sekundäre ⁇ Aufgabe behandeln im Vergleich zu der operativen Kontinuität. Das schafft das sogenannte Dilemma des downtime, wo die Führer müssen entscheiden zwischen der momentanen Unterbrechung von Diensten um Systeme zu aktualisieren und dem potenziellen Risiko einer zukünftigen Exploitation. Jedoch, die jüngsten Angriffe zeigen, dass zu verzögern diese Updates kommen kann viel teurer, sowohl in finanzieller als auch renommierter Hinsicht
Außerdem, die Kompatibilitätsprüfungen sind ein gemeinsamer Engpass. Viele Unternehmensumgebungen, besonders in Sektoren wie Telekommunikation, operieren mit einer komplexen Kombination von Legacy- und modernen Technologien. Das macht, dass jedes Update einen beträchtlichen Aufwand erfordert um sicherzustellen, dass das Patch keine Probleme in abhängigen Systemen verursacht. Diese Art Sorgfalt ist verständlich, aber kann es gemildert werden mit der Annahme von Praktiken wie robustere Testumgebungen und automatisierte Prozesse der Validierung
Ein weiterer Punkt der zur Verzögerung in der Anwendung von Patches beiträgt ist das fehlende Bewußtsein über die Schwere der Fehler. Oftmals, IT-Teams unterschätzen die Bedeutung eines spezifischen CVE, vor allem wenn er nicht weitgehend explodiert wurde bis zum moment. Das Problem ist, dass das Fenster der Gelegenheit für Angreifer sich öffnen kann bevor die Organisationen die Schwere des Problems wahrnehmen. Das ist ein Feld wo Intelligenz von Bedrohungen und klare Kommunikation zwischen den Technologieanbietern und den Unternehmen können den ganzen Unterschied machen
Schließlich, die Unternehmen müssen einen proaktiveren und priorisierten Ansatz für Vulnerabilitätsmanagement annehmen, was die Automatisierung der Patchingprozesse beinhaltet, die Segmentierung der Netze, begrenzend die impact von möglichen invasionen, die Routine von regelmäßig simulieren möglichen Angriffen, was hilft die potenziellen ⁇ schwachen Punkte ⁇ zu finden.
Die Frage der Verzögerungen in Patches und Updates ist nicht nur eine technische Herausforderung, aber auch eine Gelegenheit für die Organisationen ihre Sicherheitsansicht zu verändern, sie agiler machend, anpassungsfähig und resilient. Über alles, diese Betriebsweise ist nicht neu, und hunderte anderer Angriffe werden durchgeführt mit demselbenFunktionsweise, aus von vulnerabilitäten die als eingangstor verwendet werden. Nutzen dieser Lektion kann das Unterschied sein zwischen Opfer zu sein oder bereit zu sein für den nächsten Angriff
