A közelmúlt állítólag végrehajtott a kínai Salt Typhoon csoport távközlési vállalatok és országok – közöttük lenne Brazília – hagyta az egész világ riasztásban. Hírek beszélnek a behatolások kifinomultságának szintjéről és, ami a legriasztóbb – a bűnözők, elméletileg, még mindig lennének ezen vállalatok hálózatain belül
Az első információk erről a csoportról 2021-ben jelentek meg, amikor a Threat Intelligence csapat a Microsoft közzétett információkat arról hogyan Kína állítólag sikeresen beszivárgott számos internetes szolgáltatóban, hogy szemmel tartsa a cégeket – és rögzíteni adatokat. Az egyik első támadás végrehajtva a csoport volt egy-ból megsértése Cisco útválasztók, amelyek szolgáltak mint egy gateway a monitorozáshoz internetes tevékenység zajló e eszközök révén. Miután a hozzáférés meg lett szerezve, a hackerek sikerültek kiterjeszteni elérésüket további hálózatokra. 2021 októberében, a Kaspersky megerősítette, hogy a kiberbűnözők már kiterjesztették a támadásokat más országokra mint Vietnám, Indonézia, Thaiföld, Malajzia Egyiptom, Etiópia és Afganisztán.
Ha az első sérülékenységek már ismertek voltak 2021 óta – miért is lettünk még megtámadva? A válasz van, pontosan, abban hogyan kezeljük ezeket a sebezhetőségeket a mindennap
Bűncselekmény módszere
Most, az elmúlt napokban, információ az amerikai kormányból megerősítette egy sor támadást a ⁇ vállalatok és országok ⁇ – hogy történtek volna a ismert sebezhetőségektől egy VPN-alkalmazásban, az Ivanti gyártót, a Fortinet Forticlient EMS, használt hogy csinálja a monitorozást szerverekben, a Sophos firewalls és szintén Microsoft Exchange szerverekben.
A Microsoft sérülékenysége 2021-ben került nyilvánosságra amikor, rögtön a sorban, a cég közzétette a korrekciókat. A hiba a firewalls Sophos volt közzét 2022 – és korrigált 2023 szeptemberében. A Forticlientben talált problémák nyilvánossá váltak 2023-ban, és korrigáltak 2024 márciusában – valamint mint azok az Ivanti, amelyek szintén voltak CVEs (Common Vulnerabilities and Exposures) regisztráltak 2023. A cég, azonban, csak kijavította a sebezhetőséget tavaly októberben.
Mind ezek a sebezhetőségek lehetővé tették, hogy a bűnözők könnyen beszivárogjanak a támadott hálózatokba, használ hitelesítőket és szoftvereket legitim, ami a felfedezését ezeknek a behatások szinte lehetetlenné teszi. Onnantól kezdve, a bűnözők laterálisan mozogtak ezen hálózatokon belül, implantálva malwares, amelyek segítettek a hosszú távú kémkedés munkájában.
Ami riasztó a legutóbbi támadásokban az, hogy a Salt Typhoon csoport hackerei által használt módszerek konzisztensek a hosszú távú taktikákkal megfigyelve korábbi kampányokban tulajdonítottak kínai államügynököknek. Ezek a módszerek magukban foglalják a legitim hitelesítések használatát, hogy maszkálják a rosszindulatú tevékenységeket mint rutinszerű műveletek, megnehezítve az azonosítást konvencionális biztonsági rendszerek által. A hangsúly széles körben használt szoftvereken, mint VPN-ek és firewalls, mutat egy mélyreható ismeretet a sebezhetőségek vállalati és kormányzati környezetek
A sebezhetőségek problémája
Az kizsákmányolt sérülékenységek szintén feltárnak egy aggasztó mintát: késések a javítások és frissítések alkalmazásában. Annak ellenére a korrekciók elérhetővé a gyártók, a számos vállalkozás operatív realitása megnehezíti ezek megoldásainak azonnali végrehajtását. Kompatibilitás tesztelések, a szükség a küldetés kritikus rendszerekben fennálló megszakítások elkerülésére; és, bizonyos esetekben, a hibák súlyosságáról való tudatosság hiánya hozzájárulnak az expozíciós ablak növeléséhez
Ez kérdés nem csak technikai, de szintén szervezeti és stratégiai, érintő eljárások, prioritások és, sokszor, vállalati kultúra
Egy kritikus szempont az, hogy sok vállalat kezeli a patchok alkalmazását mint egy ⁇ másodlagos ⁇ feladat az operatív folytonossághoz képest. Ez létrehoz az úgynevezett a downtime dilemma, ahol a vezetőknek dönteni kell a pillanatnyi szolgáltatások megszakítása rendszerek frissítéséhez és a potenciális kockázat egy jövőbeli exploatáció. Mindazonáltal, a közelmúlt támadások mutatják hogy késleltetni ezeket a frissítéseket sokkal költségesebb lehet, mind pénzügyi, mind reputacionális szempontból
Ezenkívül, a kompatibilitási tesztek egy gyakori dugó. Sok vállalati környezet, különösen olyan ágazatokban mint telekommunikáció, működnek egy komplex kombinációjával hagyományos és modern technológiák. Ez teszi, hogy minden frissítés igényel jelentős erőfeszítést annak biztosítására, hogy a patch nem okoz problémákat függő rendszerekben. Ez a fajta gondosság érthető., de mérsékelhető az olyan gyakorlatok elfogadásával mint robusztusabb teszt környezetek és automatizált érvényesítési folyamatok
Egy másik pont, ami hozzájárul a késedelem a patchek alkalmazásában a tudatosság hiánya a hibák súlyosságáról. Sokszor, IT csapatok alábecsülik egy adott CVE fontosságát, különösen amikor nem volt széles körben kiaknázva addig a pillanat. A probléma az, hogy az alkalmi ablak a támadók számára megnyílhat mielőtt a szervezetek felismerik a probléma súlyosságát. Ez egy olyan terület, ahol fenyegetés intelligencia és világos kommunikáció a technológia beszállítók és a vállalatok között tehet minden különbséget
Végül, a cégeknek szükségük van egy proaktívabb és prioritásolt megközelítés elfogadására sebezhetőségek kezelésére, ami magában foglalja a patching folyamatok automatizálását, a hálózatok szegmentálását, korlátozva a lehetséges inváziók hatását, a rutin a rendszeres szimulálás lehetséges támad, ami segít megtalálni a potenciális ⁇ gyenge pontokat ⁇.
A kérdés a késések a patch és frissítések nem csak egy technikai kihívás, de szintén egy lehetőség a szervezetek számára átalakítani a biztonsági megközelítés, teszve azt agilisabb, alkalmazkodó és rugalmas. Mindenek felett, ez az működési mód nem új, és száz más támadásokat hajtanak végre ugyanazzalműködési mód, a sérülékenységekből amelyek használhatók bejáratként. Használni ezt a leckét lehet az a különbség, hogy áldozat vagy készen áll a következő támadásra
