I recenti attacchi presumibilmente effettuati dal gruppo cinese Salt Typhoon a aziende di telecomunicazioni e paesi – tra loro sarebbe stato il Brasile – ha lasciato il mondo intero in allerta. Notizie parlano del livello di sofisticazione delle invasioni e, ciò che è più allarmante – i criminali, teoricamente, sarebbero ancora all'interno delle reti di queste aziende
Le prime informazioni su questo gruppo sono apparse nel 2021, quando il team di Threat Intelligence di Microsoft ha divulgato informazioni su come la Cina avrebbe infiltrato con successo in diversi fornitori di servizio internet, per sorvegliare le imprese – e catturare dati. Uno dei primi attacchi effettuati dal gruppo è stato da una violazione in router Cisco, che servivano come un gateway per monitorare attività di internet avvenendo per mezzo di questi dispositivi. Una volta che l'accesso era ottenuto, gli hacker riuscivano ad espandere la loro portata a reti aggiuntive. Nell'ottobre 2021, la Kaspersky ha confermato che i cybercriminali avevano già espanso gli attacchi ad altri paesi come il Vietnam, Indonesia, Thailandia, Malesia Egitto, Etiopia e Afghanistan.
Se le prime vulnerabilità erano già conosciute dal 2021 – perchè ancora siamo stati attaccati? La risposta sta, giustamente, in come gestiamo con queste vulnerabilità nel giorno a giorno
Metodo stupro
Adesso, negli ultimi giorni, informazioni del governo nordamericano hanno confermato una serie di attacchi a ⁇ imprese e paesi ⁇ – che sarebbero accaduti a partire da vulnerabilità conosciute in un'applicazione di VPN, del produttore Ivanti, nel Fortinet Forticlient EMS, usato per fare il monitoraggio in server, in firewalls Sophos e anche in server Microsoft Exchange.
La vulnerabilità di Microsoft è stata divulgata nel 2021 quando, subito nella sequenza, l'azienda ha pubblicato le correzioni. La falla nei firewalls Sophos è stata pubblicata nel 2022 – e corretta nel settembre di 2023. I problemi trovati nel Forticlient sono diventati pubblici nel 2023, e rettificati nel marzo di 2024 – così come quelli di Ivanti, che hanno anche avuto le loro CVE (Common Vulnerabilities and Exposures) registrate nel 2023. L'azienda, nel frattempo, solo ha corretto la vulnerabilità lo scorso ottobre.
Tutte queste vulnerabilità hanno permesso che i criminali facilmente si infiltrassero nelle reti attaccate, usando credenziali e softwares legittimi, il che rende la rilevazione di queste invasioni quasi impossibile. Da lì in poi, i criminali si sono spostati lateralmente all'interno di queste reti, impiantando malwares, che hanno aiutato nel lavoro di spionaggio di lungo termine.
Ciò che è allarmante nei recenti attacchi è che i metodi utilizzati dagli hacker del gruppo Salt Typhoon sono coerenti con le tattiche di lungo termine osservate in campagne precedenti attribuite ad agenti statali cinesi. Questi metodi includono l'uso di credenziali legittime per mascherare attività malevole come operazioni di routine, rendendo difficile l'identificazione da sistemi di sicurezza convenzionali. Il focus su softwares ampiamente utilizzati, come VPNs e firewall, dimostra una conoscenza approfondita delle vulnerabilità in ambienti aziendali e governativi
Il problema delle vulnerabilità
Le vulnerabilità sfruttate rivelano anche un modello preoccupante: ritardi nell'applicazione di patch e aggiornamenti. Nonostante le correzioni fornite dai produttori, la realtà operativa di molte imprese rende difficile l'implementazione immediata di queste soluzioni. Test di compatibilità, la necessità di evitare interruzioni in sistemi critici di missione; e, in alcuni casi, la mancanza di consapevolezza sulla gravità dei difetti contribuiscono all'aumento della finestra di esposizione
Questa questione non è solo tecnica, ma anche organizzativa e strategica, coinvolgendo processi, priorità e, molte volte, cultura aziendale
Un aspetto critico è che molte aziende trattano l'applicazione di patch come un compito ⁇ secondario ⁇ rispetto alla continuità operativa. Questo crea il cosiddetto dilemma del downtime, dove i leader devono decidere tra l'interruzione momentanea di servizi per aggiornare sistemi e il rischio potenziale di una exploitation futura. Tuttavia, i recenti attacchi mostrano che ritardare questi aggiornamenti può finire molto più costoso, sia in termini finanziari che reputazionali
Inoltre, i test di compatibilità sono un colloquio comune. Molti ambienti aziendali, specialmente in settori come telecomunicazioni, operano con una complessa combinazione di tecnologie ereditate e moderne. Questo fa in modo che ogni aggiornamento richieda uno sforzo considerevole per garantire che il patch non provochi problemi in sistemi dipendenti. Questo tipo di cura è comprensibile, ma può essere mitigato con l'adozione di pratiche come ambienti di test più robusti e processi automatizzati di validazione
Un altro punto che contribuisce al ritardo nell'applicazione di patch è la mancanza di consapevolezza sulla gravità dei difetti. Molte volte, squadre di IT sottovalutano l'importanza di un CVE specifico, soprattutto quando esso non è stato ampiamente esplorato fino al momento. Il problema è che la finestra di opportunità per gli attaccanti può aprirsi prima che le organizzazioni si rendano conto della gravità del problema. Questo è un campo dove intelligenza di minacce e comunicazione chiara tra i fornitori di tecnologia e le aziende possono fare tutta la differenza
Infine, le aziende devono adottare un approccio più proattivo e priorizzato per gestione di vulnerabilità, il che include l'automazione dei processi di patching, la segmentazione delle reti, limitando l'impatto di possibili invasioni, la routine di simulare regolarmente possibili attacchi, il che aiuta a trovare i potenziali ⁇ punti deboli ⁇.
La questione dei ritardi nelle patch e aggiornamenti non è solo una sfida tecnica, ma anche un'opportunità per le organizzazioni trasformare il loro approccio alla sicurezza, rendendola più agile, adattabile e resiliente. Sopra tutto, questo modo di operazione non è nuovo, e centinaia di altri attacchi sono effettuati con lo stessometodo di funzionamento, da parte di vulnerabilità che sono usate come porta d'ingresso. Approfittare di questa lezione può essere la differenza tra essere vittima o essere preparato per il prossimo attacco
