Недавние атаки предположительно проведенные китайской группой Salt Typhoon на компании телекоммуникаций и страны – среди них была бы Бразилия – оставил весь мир в тревоге. Новости говорят говорят о уровне сложности вторжений и, что есть более тревожное – преступников, теоретически, все еще были бы внутри сетей этих компаний
Первая информация об этой группе появилась в 2021, когда команда Threat Intelligence Microsoft выпустила информацию о том как Китай якобы успешно проникся в нескольких провайдеров интернет-услуг, для следить за компаниями – и захватывать данные. Один из первых атак выполненных группой был из-за нарушения в маршрутизаторах Cisco, которые служили как шлюз для мониторинга деятельности интернета происходящих с помощью этих устройств. Однажды что доступ был получен, хакерам удавалось расширять свой охват на дополнительные сети. В октябре 2021 года, Касперский подтвердил что киберпреступники уже расширили атаки на другие страны как Вьетнам, Индонезия, Таиланд, Малайзия Египет, Эфиопия и Афганистан.
Если первые уязвимости уже были известны с 2021 – зачем мы еще были атакованы? Ответ находится, именно, в том как мы справляемся с этими уязвимостями в день к дню
Метод изнасилования
Теперь, в последние дни, информация правительства США подтвердила серию атак на ⁇ компании и страны ⁇ – что бы случились из-за известных уязвимостей в приложении VPN, от производителя Ivanti, в Fortinet Forticlient EMS, использован для делать мониторинг на серверах, в firewalls Sophos и также в серверах Microsoft Exchange.
Уязвимость Microsoft была раскрыта в 2021 году когда, сразу в последовательности, компания опубликовала корректировки. Нарушение в firewalls Sophos было опубликовано в 2022 – и исправленная в сентябре 2023. Проблемы найденные в Forticlient стали публичными в 2023, и исправлены в марте 2024 – а также те от Ivanti, которые также имели свои CVEs (Common Vulnerabilities and Exposures) зарегистрированные в 2023. Компания, тем не менее, только исправил уязвимость в октябре прошлого.
Все эти уязвимости позволили преступникам легко проникнуть в атакованные сети, используя удостоверения и софтверы легитимные, что делает обнаружение этих вторжений почти невозможным. С этого момента, преступники переместились боково внутри этих сетей, внедряя Malwares, которые помогли в работе шпионажа долгосрочного срока.
Что является тревожным в недавних атаках является то, что методы используемые хакерами группы Salt Typhoon являются последовательными с долгосрочными тактиками, наблюдаемыми в предыдущих кампаниях, приписываемых китайским государственным агентам. Эти методы включают использование легитимных учетных данных для маскировки вредоносной деятельности как рутинные операции, затрудняя идентификацию обычными системами безопасности. Фокус на softwares широко используемых, как VPNs и firewalls, демонстрирует глубокое знание уязвимостей в корпоративных и правительственных средах
Проблема уязвимостей
Использованные уязвимости также раскрывают тревожную модель: задержки в применении патчей и обновлений. Несмотря на исправления, предоставленные производителями, операционная реальность многих компаний затрудняет немедленное внедрение этих решений. Тесты совместимости, необходимость избегать перерывов в системах критического назначения; и, в некоторых случаях, отсутствие осведомленности о серьезности неисправностей способствуют увеличению окна экспозиции
Этот вопрос не только технический, но также организационная и стратегическая, затрагивая процессы, приорите и, много раз, корпоративная культура
Одним критическим аспектом является то что многие компании относятся к применению патчей как к
Кроме того, тестирования совместимости являются распространенным узким местом. Многие корпоративные среды, особенно в секторах как телекоммуникации, работают с сложным сочетанием старых и современных технологий. Это делает так, что каждое обновление требует значительного усилия для обеспечения того, что патч не вызывает проблем в зависимых системах. Этот тип заботы понятен, но может быть смягчен с принятием практик как среды тестирования более надежные и автоматизированные процессы валидации
Еще один пункт, способствующий задержке в применении патчей - это отсутствие осведомленности о серьезности неудач. Много раз, команды ИТ недооценивают важность конкретного CVE, особенно когда он не был широко эксплуатирован до момента. Проблема в том, что окно возможности для злоумышленников может открыться раньше, чем организации осознают серьезность проблемы. Это - поле, где интеллект угроз и четкая коммуникация между поставщиками технологий и компаниями могут сделать всю разницу
Наконец, компании должны принять более проактивный и приоритезированный подход для управления уязвимостями, что включает в себя автоматизацию процессов патчинга, сегментацию сетей, ограничивая воздействие возможных вторжений, рутина регулярного симулирования возможных атак, что помогает найти потенциальные ⁇ слабые точки ⁇.
Вопрос задержек в патчах и обновлениях не является только техническим вызовом, но также возможность для организаций трансформировать свой подход безопасности, делая ее более гибкой, адаптив и резистентный. Прежде всего, этот режим операции не является новым, и сотни других атак выполняются с тем жеметод работы, из-за уязвимостей которые используются как ворота входа. Воспользоваться этим уроком может быть разницей между быть жертвой или быть подготовлен для следующего нападения
