Nedávné útoky údajně provedené čínskou skupinou Salt Typhoon telekomunikačním společnostem a zemím mezi nimi by byly Brazílie 'SA nechala celý svět v pohotovosti. Zprávy hovoří o úrovni sofistikovanosti invazí a co je ještě alarmující, 'zločinci by teoreticky stále byli v sítích těchto společností.
První informace o této skupině přišla v roce 2021, kdy tým Threat Intelligence společnosti Microsoft zveřejnil informace o tom, jak Čína úspěšně infiltrovala několik poskytovatelů internetových služeb, aby sledovala společnosti a zachycovala data. Jedním z prvních útoků, které skupina provedla, bylo narušení směrovačů Cisco, které sloužily jako brána pro sledování internetových aktivit probíhajících prostřednictvím těchto zařízení, Jakmile byl získán přístup, hackeři byli schopni rozšířit svůj dosah na další sítě, V říjnu 2021 společnost Kaspersky potvrdila, že kyberzločinci již rozšířili útoky na další země, jako je Vietnam, Indonésie a Indonésie.
Pokud první zranitelnosti byly známy již od roku 2021 JE DŮVOD, PROČ jsme byli stále napadeni? Odpověď spočívá právě v tom, jak se s těmito zranitelnostmi denně vypořádáváme.
Způsob porušení
Nyní, v posledních dnech, vládní informace potvrdily sérii útoků na společnosti a země, které se vyskytují - to se stalo ze známých zranitelností v aplikaci VPN, výrobce Ivanti, Fortinet Forticlient EMS, který se používá k monitorování serverů, firewallů Sophos a také serverů Microsoft Exchange.
Zranitelnost Microsoftu byla odhalena v roce 2021, kdy krátce poté společnost zveřejnila opravy. Chyba na firewallech Sophos byla zveřejněna v roce 2022 a opravena v září 2023. Problémy nalezené ve Forticlientu se dostaly na veřejnost v roce 2023 a opraveny v březnu 2024, stejně jako problémy Ivanti, které také měly své CVE (Common Vulnerabilities and Exposures) registrované v roce 2023. Společnost však zranitelnost opravila až loni v říjnu.
Všechny tyto zranitelnosti umožnily zločincům snadno proniknout do napadených sítí pomocí legitimních přihlašovacích údajů a softwaru, což téměř znemožňuje odhalení těchto průniků. Odtud se zločinci pohybovali laterálně v těchto sítích a nasazovali malware, který pomáhal při dlouhodobé špionážní práci.
Co je alarmující na nedávných útocích je, že metody používané hackery skupiny Salt Typhoon jsou v souladu s dlouhodobou taktikou pozorovanou v předchozích kampaních připisovaných čínským státním agentům Tyto metody zahrnují použití legitimních pověření k maskování škodlivých aktivit jako rutinních operací, což ztěžuje identifikaci konvenčními bezpečnostními systémy Zaměření na široce používaný software, jako jsou VPN a firewally, prokazuje hluboké znalosti zranitelností v podnikovém a vládním prostředí.
Problém zranitelnosti
Využitá zranitelnost také odhaluje znepokojivý vzorec: zpoždění při aplikaci oprav a aktualizací. Navzdory opravám, které výrobci zpřístupnili, provozní realita mnoha společností ztěžuje okamžitou implementaci těchto řešení. Testování kompatibility, potřeba vyhnout se narušení kritických systémů a v některých případech nedostatek povědomí o závažnosti selhání přispívá ke zvýšenému oknu expozice.
Tato problematika je nejen technická, ale i organizační a strategická, zahrnuje procesy, priority a často i firemní kulturu.
Kritickým aspektem je, že mnoho společností považuje vymáhání oprav za „nesekundární úkol ve srovnání s provozní kontinuitou. To vytváří takzvané dilema prostojů, kdy se lídři musí rozhodnout mezi okamžitým narušením služeb upgradu systémů a potenciálním rizikem budoucího využití. Nedávné útoky však ukazují, že odkládání těchto aktualizací může být mnohem dražší, a to jak finančně, tak reputačně.
Kromě toho je testování kompatibility běžným úzkým hrdlem. Mnoho podnikových prostředí, zejména v odvětvích, jako jsou telekomunikace, pracuje se složitou kombinací starších a moderních technologií. Díky tomu vyžaduje každá aktualizace značné úsilí, aby se zajistilo, že oprava nezpůsobí problémy v závislých systémech. Tento typ péče je srozumitelný, ale lze jej zmírnit přijetím postupů, jako jsou robustnější testovací prostředí a automatizované ověřovací procesy.
Dalším bodem, který přispívá ke zpoždění při aplikaci patchů, je nedostatečné povědomí o závažnosti selhání Často IT týmy podceňují význam konkrétního CVE, zvláště když dosud nebyl široce prozkoumán Problém je, že okno příležitosti pro útočníky se může otevřít dříve, než si organizace uvědomí závažnost problému Toto je oblast, kde inteligence hrozeb a jasná komunikace mezi dodavateli technologií a společnostmi může mít zásadní význam.
A konečně, společnosti musí přijmout aktivnější a upřednostňovaný přístup ke správě zranitelnosti, který zahrnuje automatizaci procesů oprav, segmentaci sítí, omezení dopadu možných průniků, rutinu pravidelné simulace možných útoků, což pomáhá najít potenciální slabší body.
Problematika zpoždění oprav a aktualizací není jen technickou výzvou, ale také příležitostí pro organizace transformovat svůj bezpečnostní přístup, učinit jej agilnějším, přizpůsobivějším a odolnějším Především tento režim provozu není nový a jsou s ním prováděny stovky dalších útoků modus operandi ze zranitelností, které se používají jako brána Využitím této lekce může být rozdíl mezi tím, být obětí nebo být připraven na další útok.
