Nedavni napadi domnevno izvedeni s strani kitajske skupine Salt Typhoon na podjetja telekomunikacij in države – med njimi bi bila Brazilija – pustil celoten svet v pripravljenosti. Novice govorijo o ravni sofistikiranosti vdorov in, kar je bolj alarmantno – kriminalce, teoretično, še bi bili znotraj omrežij teh podjetij
Prve informacije o tej skupini so se pojavile v 2021, ko je ekipa Threat Intelligence pri Microsoftu objavila informacije o tem kako se je Kitajska domnevno uspešno infiltrirala v več ponudnikov internetnih storitev, za nadzirati podjetja – in zajeti podatke. Eden od prvih napadov izvedenih s strani skupine je bil iz kršitve v usmerjevalnike Cisco, ki so služili kot gateway za spremljanje internetnih dejavnosti dogajajočih se prek teh naprav. Enkrat, da je dostop bil pridobljen, hekerji so uspeli razširiti svoj doseg na dodatna omrežja. V oktobru 2021, Kaspersky je potrdil da so kibernetski kriminalci že razširili napade na druge države kot Vijetnam, Indonezija, Tajska, Malezija Egiptu, Etiopija in Avganistan.
Če so prve ranljivosti že bile znane od 2021 – zakaj smo še bili napadeni? Odgovor je, pravzaprav, v kako se ukvarjamo s temi ranljivostmi v dnevu na dan
Metoda kršitve
Zdaj, v zadnjih dneh, informacije ameriške vlade so potrdile vrsto napadov na ⁇ podjetja in države ⁇ – ki bi se zgodilo iz znanih ranljivosti v aplikaciji VPN-a, proizvajalca Ivanti, na Fortinet Forticlient EMS, uporabljen za delanje spremljanja v strežnikih, v firewalls Sophos in tudi v strežnikih Microsoft Exchange.
Ranljivost Microsofta je bila razkrita v 2021 ko, takoj v zaporedju, podjetje je objavilo popravke. Napaka v firewalls Sophos je bila objavljena v 2022 – in popravljena v septembru 2023. Težave najdene v Forticlient so postale javne v 2023, in korigirani v marcu 2024 – prav tako kot tiste od Ivanti, ki so tudi imeli svoje CVEs (Common Vulnerabilities and Exposures) registrirane leta 2023. Podjetje, vendar, samo popravil ranljivost lani oktobra.
Vse te ranljivosti so omogočile, da so kriminalci enostavno se infiltrirali v napadena omrežja, z uporabo poverilnic in softwarov legitimnih, kar naredi odkrivanje teh vdorov skoraj nemogoče. Od takrat, kriminalci so se gibali stransko znotraj teh mrež, implantacijo malwares, ki so pomagali v delu vohunjenja dolgoročnega.
Kar je zaskrbljujoče v nedavnih napadih je, da so metode uporabljene s strani hakerjev skupine Salt Typhoon skladne z dolgoročnimi taktikami opazovanimi v prejšnjih kampanjah pripisane kitajskim državnim agentom. Ti metodi vključujejo uporabo legitimnih poverilnic za maskiranje zlobnih dejavnosti kot rutinskih operacij, otežujo identifikacijo s konvencionalnimi varnostnimi sistemi. Osredotočenje na softwarje široko uporabljene, kot VPNs in firewalls, kaže temeljito znanje o ranljivostih v korporativnih in vladnih okoljih
Težava ranljivostih
Izkoriščene ranljivosti tudi razkrivajo zaskrbljujoč vzorec: zamude v uporabi patchov in posodobitev. Kljub popravkom zagotovljenim od proizvajalcev, operativna resničnost številnih podjetij ovira takojšnjo implementacijo teh rešitev. Testiranja združljivosti, potrebo po preprečevanju prekinitev v sistemih kritične misije; in, v nekaterih primerih, pomanjkanje ozaveščenosti o resnosti napak prispevajo k povečanju okna izpostavljenosti
To vprašanje ni samo tehnično, ampak tudi organizacijsko in strateško, vključujo procese, prioritete in, velikokrat, korporativna kultura
Kritičen vidik je, da mnoga podjetja obravnavajo uporabo patchov kot ⁇ drugoročno ⁇ nalogo v primerjavi z operativno kontinuiteto. To ustvarja tako imenovano dilemo downtimeja, kjer se voditelji morajo odločiti med trenutno prekinitvijo storitev za posodobitev sistemov in potencialnim tveganjem prihodnjega izkoriščanja. Vendar, nedavni napadi kažejo da odlašanje teh posodobitev lahko konča veliko dražje, tako v finančnem smislu kot reputacijskem
Poleg tega, testi združljivosti so običajna ozka cesta. Mnogi korporativna okolja, zlasti v sektorjih kot telekomunikacije, delujejo s kompleksno kombinacijo starodavnih in sodobnih tehnologij. To naredi, da vsaka posodobitev zahteva precejšen napor za zagotovitev, da patch ne povzroči težav v odvisnih sistemih. Takšna vrsta skrbi je razumljiva, ampak se lahko ublaži s sprejetjem praks kot bolj robustnih testnih okolij in avtomatiziranih procesov validacije
Še ena točka, ki prispeva k zamudi pri uporabi patchov je pomanjkanje ozaveščenosti o resnosti napak. Velikokrat, ekipe IT podcenjujejo pomembnost posameznega CVE, zlasti ko ga ni bilo široko izkoriščeno do trenutka. Težava je, da se okno priložnosti za napadalce lahko odpre preden se organizacije zavedajo resnosti problema. To je polje, kjer inteligenca groženj in jasna komunikacija med ponudniki tehnologije in podjetji lahko naredijo vso razliko
Nazad, podjetja morajo sprejeti bolj proaktiven in prioritiziran pristop za upravljanje ranljivosti, kar vključuje avtomatizacijo procesov patchingov, segmentacijo omrežij, omejevanje vpliva morebitnih invazij, rutino rednega simuliranja možnih napadov, kar pomaga pri iskanju potencialnih ⁇ šibkih točk ⁇.
Vprašanje zamud v patchih in posodobitvah ni samo tehnični izziv, ampak tudi priložnost za organizacije preoblikovati svoj pristop k varnosti, delajoč jo bolj agilno, prilagodljiv in odporen. Nad vsemi, ta način delovanja ni nov, in na stotine drugih napadov so izvedeni z istimnačin delovanja, izven ranljivosti, ki so uporabljene kot vhodna vrata. Izkoriščanje te lekcije je lahko razliko med biti žrtev ali biti pripravljen za naslednji napad
