De senaste attackerna påstås utförda av den kinesiska gruppen Salt Typhoon på telekommunikationsföretag och länder – bland dem skulle vara Brasilien – lämnade hela världen i alert. Nyheter talar om nivån av sofistikering av intrången och, vad som är mer alarmerande – brottslingarna, teoretiskt, fortfarande skulle vara inom nätverken dessa företag
Den första informationen om denna grupp dök upp i 2021, när Threat Intelligence-teamet hos Microsoft släppte information om hur Kina skulle ha infiltrerat framgångsrikt i flera internettjänstleverantörer, för att övervaka företagen – och fånga data. En av de första attacker utförda av gruppen var från en överträdelse i routrar Cisco, som tjänade som en gateway för att övervaka internetaktiviteter inträffar via dessa enheter. En gång att tillgången var erhållen, hackarna lyckades expandera sin räckvidd till ytterligare nätverk. I oktober 2021, Kaspersky den bekräftade att cyberkriminella redan hade expanderat attackerna till andra länder som Vietnam, Indonesien, Thailand, Malaysia Egypten, Etiopien och Afghanistanistan.
Om de första sårbarheterna redan var kända sedan 2021 – varför vi ännu blev attackerade? Svaret är, just det, i hur vi hanterar dessa sårbarheter i dag till dag
Metod av överträdelse
Nu, under de senaste dagarna, information från den amerikanska regeringen bekräftade en rad attacker på ⁇ företag och länder ⁇ – som skulle ha hänt från kända sårbarheter i en VPN-applikation, från tillverkaren Ivanti, på Fortinet Forticlient EMS, använt för att göra övervakningen på servrar, i firewalls Sophos och också på Microsoft Exchange servrar.
Microsoft:s sårbarhet publicerades i 2021 när, strax i sekvensen, företaget publicerade korrigeringarna. Bristen på firewalls Sophos publicerades i 2022 – och korrigerad i september 2023. Problemen hittade i Forticlient blev offentliga i 2023, och korrigerade i mars 2024 – såväl som de av Ivanti, som också hade sina CVEs (Common Vulnerabilities and Exposures) registrerade 2023. Företaget, under tiden, bara korrigerade sårbarheten i oktober förra.
Alla dessa sårbarheter tillät att brottslingar lätt infiltrerade sig i de attackerade nätverk, genom att använda behörigheter och softwares legitima, vad som gör detektionen av dessa intrång nästan omöjlig. Från och med då, brottslingarna rörde sig lateralt inom dessa nätverk, implantera malwares, som hjälpte i arbetet med spionage på lång sikt.
Vad som är alarmerande i senaste attacker är att de metoder som används av hackarna i gruppen Salt Typhoon är konsekventa med de långsiktiga taktiker som observerats i tidigare kampanjer tillskrivna till kinesiska statliga agenter. Dessa metoder inkluderar användningen av legitima behörigheter för att maskerar skadliga aktiviteter som rutinmässiga operationer, försvårande identifiering av konventionella säkerhetssystem. Fokuset på softwares som allmänt används, som VPNs och firewalls, visar en fördjupad kunskap om sårbarheterna i företags och regeringsmiljöer
Problemet av sårbarheter
De exploaterade sårbarheterna avslöjar också ett oroande mönster: förseningar i tillämpning av patchar och uppdateringar. Trots de korrigeringar som tillhandahållits av tillverkarna, den operativa verkligheten av många företag försvårar omedelbar implementering av dessa lösningar. Kompatibilitetstester, behovet av att undvika avbrott i missionskritiska system och, i vissa fall, bristen på medvetenhet om allvaret av felen bidrar till ökningen av exponeringsfönstret
Denna fråga är inte bara teknisk, men också organisatorisk och strategisk, involverande processer, prioriter och, många gånger, korporativ kultur
En kritisk aspekt är att många företag behandlar tillämpningen av patchar som en ⁇ sekundär ⁇ uppgift i jämförelse med den operativa kontinuiteten. Det skapar det så kallade downtime-dilemma, där ledarna måste bestämma mellan det ögonblickliga avbrottet av tjänster för uppgradera system och den potentiella risken av en framtida exploatering. Emellertid, de senaste attackerna visar att försena dessa uppgraderingar kan komma mycket dyrare, både i ekonomiska termer och reputationsmässiga
Dessutom, kompatibilitetstesterna är en vanlig klyfta. Många företagsmiljöer, särskilt i sektorer som telekommunikation, opererar med en komplex kombination av traditionella och moderna teknologier. Detta gör att varje uppdatering kräver en betydande ansträngning för att säkerställa att patchen inte orsakar problem på beroende system. Denna typ av omsorg är förståelig, men kan minskas med antagandet av metoder som mer robusta testmiljöer och automatiserade processer för validering
En annan punkt som bidrar till förseningen i tillämpningen av patchar är bristen på medvetenhet om allvaret av bristerna. Många gånger, IT-team underskattar betydelsen av en specifik CVE, särskilt när den inte har allmänt exploaterats fram till ögonblicket. Problemet är att fönstret för möjlighet för angriparna kan öppna sig innan organisationerna inser allvaret av problemet. Detta är ett område där intelligens av hot och tydlig kommunikation mellan teknikleverantörerna och företagen kan göra hela skillnaden
Till slut, företagen behöver anta ett mer proaktivt och prioriterat tillvägagångssätt för hantering av sårbarheter, vilket inkluderar automatiseringen av patchingprocesserna, segmenteringen av nät, begränsar påverkan av möjliga invasioner, rutinen av att regelbundet simulera möjliga attacker, vilket som hjälper till att hitta de potentiella ⁇ svaga punkterna ⁇.
Frågan om dröjsmål i patchar och uppdateringar är inte bara en teknisk utmaning, men också en möjlighet för organisationerna att transformera sin approach till säkerhet, görande den mer smidig, anpassningsbar och resilient. Över allt, detta funktionssätt är inte nytt, och hundratals andra attacker utförs med den sammaarbetsmetod, från från sårbarheter som är använda som ingångsport. Att dra nytta av denna läxa kan vara skillnaden mellan att vara offer eller vara förberedd för nästa attack
