Ostatnie ataki rzekomo przeprowadzone przez chińską grupę Salt Typhoon na firmy telekomunikacyjne i kraje – między nimi byłaby Brazylia – zostawił cały świat w alertach. Wiadomości mówią mówią o poziomie wyrafinowania włamań i, co jest bardziej alarmujące – kryminaliści, teoretycznie, nadal byłyby wewnątrz sieci tych firm
Pierwsze informacje o tej grupie pojawiły się w 2021, gdy zespół Threat Intelligence w Microsoft ujawnił informacje o tym jak Chiny miały się skutecznie infiltrować w kilku dostawców usług internetowych, do nadzoru nad firmami – i przechwycić dane. Jeden z pierwszych ataków przeprowadzonych przez grupę był od od naruszenia w routery Cisco, które służyły jako brama do monitorowania aktywności internetowych występujących za pośrednictwem tych urządzeń. Raz, że dostęp był uzyskiwany, hakerzy potrafili rozszerzyć swój zasięg na sieci dodatkowe. W październiku 2021, Kaspersky potwierdziło że cyberprzestępcy już mieli rozszerzone ataki na inne kraje jak Wietnam, Indonezja, Tajlandia, Malezja Egipt, Etiopia i Afgaństan.
Jeśli pierwsze podatności były już znane od 2021 – dlaczego jeszcze zostaliśmy zaatakowani? Odpowiedź jest, właśnie, w jak radzimy sobie z tymi wrażliwościami w dniu do dnia
Metoda gwałtu
Teraz, w ostatnich dniach, informacje rządu amerykańskiego potwierdziły szereg ataków na ⁇ firmy i kraje ⁇ – które miałyby się wydarzyć od znanych podatności w aplikacji VPN-u, od producenta Ivanti, w Fortinet Forticlient EMS, używany do robienia monitorowania w serwerach, w firewallach Sophos i również w serwerach Microsoft Exchange.
Słabość Microsoftu została ujawniona w 2021 kiedy, zaraz w następstwie, przedsiębiorstwo opublikowało korekty. Uszkodzenie w firewallach Sophos zostało opublikowane w 2022 – i skorygowana we wrześniu 2023. Problemy znalezione w Forticlient stały się publiczne w 2023, i skorygowane w marcu 2024 – jak również te od Ivanti, które również miały swoje CVEs (Common Vulnerabilities and Exposures) zarejestrowane w 2023. Firma, tymczasem, tylko naprawił podatność w październiku ubiegłego.
Wszystkie te słabości pozwoliły, aby przestępcy łatwo infiltrowali się w atakowane sieci, używając uwierzytelnień i softwarów legalnych, co sprawia wykrycie tych włamań prawie niemożliwe. Od tego momentu, przestępcy poruszyli się bocznie wewnątrz tych sieci, rozmieszczając malwares, które pomogły w pracy szpiegowskiej długoterminowej.
Co jest alarmujące w ostatnich atakach to, że metody używane przez hakerów grupy Salt Typhoon są spójne z taktykami długoterminowymi obserwowanymi w poprzednich kampaniach przypisanych do agentów państwowych chińskich. Metody te obejmują użycie legalnych akredytyw do maskowania działań złośliwych jak operacje rutynowe, utrudniając identyfikację przez systemy bezpieczeństwa konwencjonalne. Skupienie na softwarach szeroko używanych, jak VPNs i firewalls, pokazuje dogłębną wiedzę o wrażliwościach w środowiskach korporacyjnych i rządowych
Problem podatności
Eksploatowane podatności również ujawniają niepokojący wzorzec: opóźnienia w stosowaniu patchów i aktualizacji. Mimo poprawek udostępnionych przez producentów, rzeczywistość operacyjna wielu firm utrudnia natychmiastowe wdrożenie tych rozwiązań. Testy kompatybilności, potrzebę uniknięcia przerw w systemach krytycznych misji; i, w niektórych przypadkach, brak uświadomienia o poważności usterek przyczyniają się do zwiększenia okna ekspozycji
Ta kwestia nie jest tylko technic, ale także organizacyjna i strategiczna, angażując procesy, priorytety i, wiele razy, kultura korporacyjna
Krytycznym aspektem jest, że wiele firm traktują stosowanie patchów jako zadanie ⁇ drugie ⁇ w porównaniu z ciągłością operacyjną. To tworzy tak zwany dylemat downtime'a, gdzie przywódcy muszą zdecydować między chwilową przerwą usług do zaktualizowania systemów i potencjalnym ryzykiem przyszłej eksploatacji. Jednakże, ostatnie ataki pokazują że opóźnienie tych aktualizacji może skończyć znacznie drożej, zarówno w kategoriach finansowych jak reputacyjnych
Ponadto, testy kompatybilności są wspólnym ciosem. Wiele środowisk korporacyjnych, zwłaszcza w sektorach takich jak telekomunikacje, operują z złożoną kombinacją technologii tradycyjnych i nowoczesnych. To sprawia, że każda aktualizacja wymaga znacznego wysiłku, aby zapewnić, że patch nie powoduje problemów w zależnych systemach. Ten rodzaj troski jest zrozumiały, ale może być łagodzony przez przyjęcie praktyk jak środowiska testowe bardziej solidne i procesy zautomatyzowane walidacji
Kolejnym punktem przyczyniającym się do opóźnienia w zastosowaniu patchów jest brak świadomości na temat poważności uszkodzeń. Często, zespoły IT nie doceniają znaczenia konkretnego CVE, zwłaszcza gdy nie był on szeroko eksploatowany do chwili. Problemem jest, że okno okazji dla atakujących może się otworzyć zanim organizacje uświadomią sobie poważność problemu. To jest pole, gdzie inteligencja zagrożeń i jasna komunikacja między dostawcami technologii i firmami mogą zrobić całą różnicę
Na końcu, firmy muszą przyjąć bardziej proaktywne i uprzywilejowane podejście do zarządzania podatnościami, co obejmuje automatyzację procesów patchingowych, segmentację sieci, ograniczając wpływ możliwych inwazji, rutyna symulowania regularnie możliwych ataków, co pomaga w znalezieniu potencjalnych ⁇ punktów słabych ⁇.
Kwestia opóźnień w patchach i aktualizacjach nie jest tylko wyzwaniem technicznym, ale także okazję dla organizacji przekształcić swoje podejście do bezpieczeństwa, czyniąc ją bardziej zwinną, adaptacyjny i wytrzymały. Przede wszystkim, ten sposób operacji nie jest nowy, i setki innych ataków są przeprowadzane z tym samymmetoda działania, z tytułu podatności, które są używane jako brama wejściowa. Korzystanie z tej lekcji może być różnicą między byciem ofiarą czy być przygotowanym na następny atak
