Останні атаки нібито здійснені китайською групою Salt Typhoon на компанії телекомунікацій і країни – серед них була б Бразилія – залишив увесь світ у тревозі. Новини говорять про рівень складності вторгнень і, що що є більш тривожним – злочинців, теоретично, все ще були б всередині мереж цих компаній
Перша інформація про цю групу з'явилася в 2021, коли команда Threat Intelligence Microsoft розкрила інформацію про те як Китай мав успішно проникнути в кількох провайдерів інтернет-сервісу, для стежити за підприємствами – і захоплювати дані. Один з перших атак виконаних групою був з-за порушення в маршрутизаторах Cisco, які служили як шлюз для моніторингу діяльності інтернету відбувається за допомогою цих пристроїв. Одного разу що доступ був здобутий, хакери змогли розширювати свій вплив на додаткові мережі. У жовтні 2021, Касперський підтвердив що кіберзлочинці вже були розширили атаки на інші країни як В'єтнам, Indonesia, Таїланд, Малайзія Єгипет, Ефіопія та Афганістан.
Якщо перші вразливості вже були відомі з 2021 – чому чому ми ще були атаковані? Відповідь перебуває, justly, у тому як ми справляємося з цими вразливостями в повсякденному
Метод порушення
Now, в останні дні, інформація американського уряду підтвердила серію атак на ⁇ компанії та країни ⁇ – що мали б статися з-за відомих вразливостей в застосуванні VPN, від виробника Ivanti, на Fortinet Forticlient EMS, використа для робити моніторинг на серверах, в firewalls Sophos і також в серверах Microsoft Exchange.
Уразливість Microsoft була розкрита в 2021 році коли, відразу в послідовності, компанія опублікувала корекції. Недолік у брандмауерах Sophos був опублікований в 2022 – і виправлена у вересні 2023. Проблеми знайдені в Forticlient стали публічними в 2023, і виправлені в березні 2024 – а також ті від Ivanti, які також мали свої CVEs (Common Vulnerabilities and Exposures) зареєстровані в 2023. The company, meanwhile, тільки виправив вразливість у жовтні минулого.
Всі ці вразливості дозволили злочинцям легко проникнутися в атаковані мережі, використовуючи акредитації та софтвери легітимні, що робить виявлення цих вторжень майже неможливим. From there, злочинці перемістилися боково всередині цих мереж, встановлюючи malwares, які допомогли в роботі шпигунства довгострокового.
Що є тривожним у недавніх атаках є те, що методи використовувані хакерами групи Salt Typhoon є послідовними з тактиками довгострокового спостереження в попередніх кампаніях приписані китайським державним агентам. Ці методи включають використання легітимних акредитивів для маскування шкідливих заходів як рутинні операції, ускладнюючи ідентифікацію звичайними системами безпеки. Зосередження на softwares широко використовуваних, як VPNs і firewalls, демонструє глибоке знання вразливостей у корпоративних і урядових середовищах
Проблема вразливостей
Використані вразливості також розкривають тривожну модель: затримки у застосуванні патчів та оновлень. Незважаючи на виправлення, надані виробниками, оперативна реальність багатьох компаній ускладнює негайне впровадження цих рішень. Тестування сумісності, необхідність уникати перерв у системах критичного завдання; і, in some cases, відсутність обізнаності про серйозність недоліків сприяють збільшенню вікна експозиції
Це питання не є лише технічним, але також організаційна і стратегічна, пов'язаючи процеси, пріорите та, many times, корпоративна культура
Критичним аспектом є те що багато компаній трактують застосування патчів як ⁇ подружню ⁇ роботу в порівнянні з операційною безперервністю. Це створює так звану дилему від downtime, де лідери повинні вирішити між миттєвим припиненням послуг для оновлення систем і потенційним ризиком майбутньої експлуатації. However, недавні атаки показують що відкладати ці оновлення може вийти набагато дорожче, як у фінансових термінах, так і репутаційних
Furthermore, тести на сумісність є звичайним вузлом. Багато середовищ корпоративних, особливо в галузях як телекомунікації, працюють з складною комбінацією старовинних і сучасних технологій. Це робить так, що кожне оновлення вимагає значного зусилля для забезпечення того, що патч не викликає проблем у залежних системах. Цей вид обережності є зрозумілим, але може бути пом'якшений з прийняттям практик як середовища тесту більш надійних та автоматизованих процесів валідації
Ще один пункт, який сприяє затримці у застосуванні патчів є відсутність обізнаності про серйозність недоліків. Many times, команди ІТ недооцінюють важливість конкретного CVE, особливо коли він не був широко експлуатований до моменту. Проблема в тому, що вікно можливості для нападників може відкритися раніше, ніж організації усвідомлюють серйозність проблеми. Це є поле, де інтелект загроз і чітка комунікація між постачальниками технологій та компаніями можуть зробити всю різницю
Finally, компанії повинні прийняти більш проактивний і пріоритетний підхід для управління вразливостями, що включає в себе автоматизацію процесів патчингу, сегментацію мереж, обмежуючи вплив можливих вторгненняв, рутина регулярного симулювання можливих атак, що допомагає знайти потенційні ⁇ слабині точки ⁇.
Питання затримок у патчах та оновленнях не є тільки технічним викликом, але також можливість для організацій трансформувати свій підхід до безпеки, роблячи її більш гнучкою, адаптивний і стійкий. Above all, цей режим операції не є новим, і сотні інших атак виконуються з тим жеmethod of operation, з-за вразливостей які використовуються як двері входу. Використовувати цей урок може бути різницею між бути жертвою або бути готовим для наступного нападу
