De recente aanvallen naar verluidt uitgevoerd door de Chinese groep Salt Typhoon aan telecommunicatie bedrijven en landen – onder hen zou zijn het Brazili – liet de hele wereld op alert. Nieuws spreekt van het niveau van sofisticeerdheid van de invallen en, wat is meer alarmerend – de criminelen, theoretisch, nog binnen de netwerken van deze bedrijven zouden zijn
De eerste informatie over deze groep verscheen in 2021, toen het Threat Intelligence team van Microsoft informatie vrijgaf over hoe China zou succesvol zijn geïnfiltreerd in verschillende internetdienstverleners, om de bedrijven te bewaken – en capteren data. Een van de eerste aanvallen uitgevoerd door de groep was uit van een schending in Cisco routers, die dienden als een gateway om internetactiviteiten te monitoren plaatsvindend door middel van deze apparaten. Eenmaal dat de toegang werd verkregen, de hackers slaagden hun bereik uit te breiden naar aanvullende netwerken. In oktober 2021, de Kaspersky bevestigde dat de cybercriminelen al hadden uitgebreid de aanvallen naar andere landen zoals Vietnam, Indonesië, Thailand, Maleisië Egypte, Ethiopië en Afghanistanistan.
Of de eerste kwetsbaarheden al bekend waren sinds 2021 – waarom we nog werden aangevallen? Het antwoord ligt, juist, in hoe we omgaan met deze kwetsbaarheden in de dag tot dag
Methode van overtreding
Nu, in de laatste dagen, informatie van de amerikaanse regering bevestigde een reeks aanvallen op ⁇ bedrijven en landen ⁇ – dat zouden zijn gebeurd van uit bekende kwetsbaarheden in een VPN-applicatie, van de fabrikant Ivanti, op Fortinet Forticlient EMS, gebruikt om het monitoren te doen op servers, in firewalls Sophos en ook in servers Microsoft Exchange.
De kwetsbaarheid van Microsoft werd bekendgemaakt in 2021 toen, vlak in de opvolging, de onderneming heeft de correcties gepubliceerd. De fout in de firewalls Sophos werd gepubliceerd in 2022 – en gecorrigeerd in september 2023. De problemen gevonden in Forticlient werden openbaar gemaakt in 2023, en gecorrigeerd in maart van 2024 – evenals als die van Ivanti, die ook hadden hun CVEs (Common Vulnerabilities and Exposures) geregistreerd in 2023. Het bedrijf, ondertussen, alleen corrigeerde de kwetsbaarheid in afgelopen oktober.
Al deze kwetsbaarheden stelden criminelen in staat om gemakkelijk zich in de aangevallen netwerken te infiltreren, gebruik credentials en softwares legitiem, wat het detecteren van deze invallen bijna onmogelijk maakt. Vanaf daar, de criminelen bewogen zich zijdelings binnen deze netten, implanterend malwares, die hebben geholpen in het werk van spionage van lange termijn.
Wat is alarmerend in recente aanvallen is dat de methoden gebruikt door de hackers van de groep Salt Typhoon zijn consistent met de tactieken van lange termijn waargenomen in vorige campagnes toegeschreven aan Chinese staatsagenten. Deze methoden omvatten het gebruik van legitieme credentials om kwaadaardige activiteiten als routinematige operaties te maskeren, het moeilijk maken de identificatie door conventionele beveiligingssystemen. De focus op softwares die wijd gebruikt, als VPNs en firewalls, toont een grondige kennis van de kwetsbaarheden in bedrijfs- en regeringsomgevingen
Het probleem van de kwetsbaarheden
De geëxploiteerde kwetsbaarheden onthullen ook een zorgwekkend patroon: vertragingen in toepassing van patches en updates. Ondanks de correcties beschikbaar gesteld door de fabrikanten, de operationele realiteit van veel bedrijven bemoeilijkt de onmiddellijke implementatie van deze oplossingen. Compatibiliteitstests, de noodzaak om onderbrekingen in mission critical systems te voorkomen; en, in sommige gevallen, het gebrek aan bewustwording over de ernst van de gebreken dragen bij aan het verhogen van het blootstellingsvenster
Deze kwestie is niet alleen technis, maar ook organisatorisch en strategisch, aangaande processen, prioriteiten en, vaak, bedrijfscultuur
Een kritisch aspect is dat veel bedrijven de toepassing van patches behandelen als een ⁇ secundaire ⁇ taak in vergelijking met de operationele continuïteit. Dit creëert het zogenaamde dilemma van the downtime, waar de leiders moeten beslissen tussen de momentane onderbreking van diensten om systemen te upgraden en het potentiële risico van een toekomstige exploitatie. Echter, de recente aanvallen laten zien dat uitstellen van deze upgrades veel duurder kan komen, zowel in financiële termen als reputationele
Bovendien, de compatibiliteitstests zijn een algemene knelpunt. Veel bedrijfsomgevingen, vooral in sectoren als telecommunicatie, opereren met een complexe combinatie van legacy en moderne technologieën. Dit maakt dat elke update aanzienlijke inspanning vereist om ervoor te zorgen dat het patch geen problemen veroorzaakt op afhankelijke systemen. Dat soort zorg is begrijpelijk, maar kan worden verzacht met het aannemen van praktijken als robuustere testomgevingen en geautomatiseerde processen van validatie
Nog een punt dat bijdraagt tot de vertraging in toepassing van patches is het gebrek aan bewustwording over de ernst van de gebreken. Vaak, IT-teams onderschatten het belang van een specifieke CVE, vooral wanneer hij niet op grote schaal is geëxploiteerd tot het moment. Het probleem is dat het venster van gelegenheid voor de aanvallers kan zich openen voordat de organisaties beseffen hoe ernstig het probleem is. Dit is een veld waar intelligentie van bedreigingen en duidelijke communicatie tussen de leveranciers van technologie en de bedrijven kan maken al het verschil
Ten slotte, bedrijven moeten een meer proactieve en geprioriteerde benadering voor management van kwetsbaarheden aannemen, hetgeen de automatisering van de patchingprocessen omvat, de segmentatie van de netten, het beperken van de impact van mogelijke invallen, de routine van regelmatig simuleren mogelijke aanvallen, wat helpt om de potentiële ⁇ zwakke punten ⁇ te vinden.
De kwestie van vertragingen in patches en updates is niet alleen een technische uitdaging, maar ook een kans voor de organisaties om hun benadering van veiligheid te transformeren, waardoor ze vlotter wordt, aanpasbaar en resilient. Boven alles, deze modus van operatie is niet nieuw, en honderden andere aanvallen worden uitgevoerd met het zelfdewerkwijze, uit van kwetsbaarheden die worden gebruikt als poort van binnen. Gebruiken van deze les kan het verschil zijn tussen slachtoffer zijn of voorbereid zijn voor de volgende aanval
