Скорошните атаки, за които се твърди, че са извършени от китайската група Salt Typhoon срещу телекомуникационни компании и държави – сред които се предполага, че е и Бразилия – поставиха целия свят в тревога. Новини съобщават за високото ниво на сложност на хакерските атаки и, което е още по-тревожно – престъпниците теоретично все още се намират в мрежите на тези компании.
Първите информации за тази група се появиха през 2021 г., когато екипът за анализ на заплахи на Microsoft разпространи информация за това как Китай уж е успял да се инфилтрира в няколко доставчика на интернет услуги, за да следи компаниите – и да събира данни. Една от първите атаки, извършени от групата, е била чрез пробив в рутери Cisco, които са служили като шлюз за наблюдение на интернет дейността, протичаща през тези устройства. След като е получен достъп, хакерите са успели да разширят обхвата си до допълнителни мрежи. През октомври 2021 г. Kaspersky потвърди, че киберпрестъпниците вече са разширили атаките си до други страни като Виетнам, Индонезия, Тайланд, Малайзия, Египет, Етиопия и Афганистан.
Ако първите уязвимости са били известни още от 2021 г. – защо все пак бяхме атакувани? Отговорът се крие именно в това как се справяхме с тези уязвимости в ежедневието.
Метод на изнасилване
Сега, през последните дни, информация от американското правителство потвърди поредица от атаки срещу „компании и държави“, извършени чрез известни уязвимости в VPN приложение на производителя Ivanti, в Fortinet Forticlient EMS, използвано за мониторинг на сървъри, в Sophos firewall-и, както и в сървъри на Microsoft Exchange.
Уязвимостта на Microsoft беше разкрита през 2021 г., като компанията бързо публикува актуализации. Проблемът с firewall-ите на Sophos беше оповестен през 2022 г. – и отстранен през септември 2023 г. Проблемите с FortiClient станаха публични през 2023 г. и бяха отстранени през март 2024 г. – както и тези на Ivanti, чиито CVE (Common Vulnerabilities and Exposures) също бяха регистрирани през 2023 г. Компанията обаче отстрани уязвимостта едва през миналия октомври.
Всички тези уязвимости позволиха на престъпниците лесно да проникнат в атакуваните мрежи, използвайки легитимни идентификационни данни и софтуер, което прави откриването на тези прониквания почти невъзможно. Оттам престъпниците се придвижваха латерално в мрежите, имплантирайки зловреден софтуер, който подпомогна дългосрочната шпионска дейност.
Тревожното при последните атаки е, че методите, използвани от хакерите от групата Salt Typhoon, са съвместими с дългосрочните тактики, наблюдавани при предишни кампании, приписвани на китайски държавни агенти. Тези методи включват използването на легитимни идентификационни данни за маскиране на злонамерени дейности като рутинни операции, което затруднява идентифицирането им от конвенционалните системи за сигурност. Фокусът върху широко използван софтуер, като VPN и firewalls, демонстрира задълбочено познаване на уязвимостите в корпоративните и правителствените среди.
Проблемът с уязвимостите
Експлоатираните уязвимости разкриват и тревожна тенденция: забавяне на прилагането на кръпки и актуализации. Въпреки предоставените от производителите корекции, оперативната действителност на много компании затруднява незабавното им внедряване. Тестовете за съвместимост, необходимостта от избягване на прекъсвания в критично важни системи и в някои случаи липсата на осведоменост за сериозността на грешките допринасят за увеличаване на периода на излагане на риск.
Този въпрос не е само технически, но и организационен и стратегически, засягащ процеси, приоритети и често корпоративната култура.
Критичен аспект е, че много компании третират инсталирането на кръпки като „второстепенна“ задача в сравнение с оперативната сигурност. Това създава т.нар. дилема на прекъсването, където ръководителите трябва да решат между временното спиране на услугите за актуализация на системите и потенциалния риск от бъдеща експлоатация. Последните атаки обаче показват, че отлагането на тези актуализации може да е много по-скъпо, както финансово, така и репутационно.
Освен това, тестовете за съвместимост са често срещан проблем. Много корпоративни среди, особено в сектори като телекомуникациите, работят с комплексна комбинация от стари и модерни технологии. Това прави всяка актуализация да изисква значителни усилия, за да се гарантира, че пачът няма да причини проблеми в зависимите системи. Този тип грижа е разбираем, но може да бъде смекчен чрез прилагането на практики като по-стабилни тестови среди и автоматизирани процеси за валидация.
Друг фактор, допринасящ за забавянето на прилагането на кръпки, е липсата на осъзнаване за сериозността на уязвимостите. Често ИТ екипите подценяват значението на конкретен CVE, особено когато той не е бил широко експлоатиран до момента. Проблемът е, че прозорецът на възможност за атакуващите може да се отвори, преди организациите да осъзнаят сериозността на проблема. Това е област, в която разузнаването на заплахите и ясната комуникация между доставчиците на технологии и компаниите могат да направят огромна разлика.
Накрая, компаниите трябва да приемат по-проактивен и приоритетен подход към управлението на уязвимостите, който включва автоматизиране на процесите на пачване, сегментиране на мрежите, ограничаване на въздействието на евентуални атаки, редовно симулиране на възможни атаки, което помага за откриване на потенциалните „слаби места“.
Проблемът със закъсненията в кръпките и актуализациите не е просто техническо предизвикателство, а и възможност за организациите да трансформират подхода си към сигурността, правейки го по-гъвкав, адаптивен и устойчив. Преди всичко, този начин на работа не е нов, и стотици други атаки се извършват по същия начин. начин на действие a partir de vulnerabilidades que são usadas como porta de entrada. Aproveitar essa lição pode ser o diferencial entre ser vítima ou estar preparado para o próximo ataque.
