Kinesiske hackere: Angreb udnytter fejl kendt siden 2021

De seneste angreb, der angiveligt blev udført af den kinesiske gruppe Salt Typhoon til teleselskaber og lande – blandt dem ville være Brasilien – efterlod hele verden i alarmberedskab. News taler om niveauet af sofistikering af invasionerne, og hvad der er mere alarmerende - kriminelle, teoretisk set, ville stadig være inden for disse virksomheders netværk.

De første oplysninger om denne gruppe kom i stand i 2021, da Microsoft Threat Intelligence-teamet frigav oplysninger om, hvordan Kina med succes ville have infiltreret flere internetudbydere for at overvåge virksomheder – og indfange data. Et af de første angreb udført af gruppen var fra en overtrædelse af Cisco-routere, som fungerede som en gateway til at overvåge internetaktiviteter, der fandt sted gennem disse enheder. Når adgangen var opnået, var hackere i stand til at udvide deres rækkevidde til yderligere netværk. I oktober 2021 bekræftede Kaspersky, at cyberkriminelle allerede havde udvidet angrebene på andre lande som Vietnam, Indonesien, Thailand, Malaysia Egypten, Etiopien og Afghanistan. 

Hvis de første sårbarheder allerede var kendt siden 2021 – hvorfor blev vi stadig angrebet? Svaret ligger netop i, hvordan vi håndterer disse sårbarheder i hverdagen.

Overtrædelsesmetode

Nu, i de seneste dage, har oplysninger fra den amerikanske regering bekræftet en række angreb på “virksomheder og lande” - som ville være sket fra kendte sårbarheder i en VPN-applikation, fra producenten Ivanti, i Fortinet FortiClient EM'er, der blev brugt til at overvåge servere, Sophos firewalls og også på Microsoft Exchange-servere. 

Microsofts sårbarhed blev afsløret i 2021, da virksomheden bagefter offentliggjorde rettelserne. Sophos Firewalls-fejlen blev offentliggjort i 2022 - og rettet i september 2023. De problemer, man stødte på i Forticlient, blev offentlige i 2023 og korrigerede i marts 2024 – såvel som i Ivanti, som også havde deres fælles sårbarheder og eksponeringer, som CVE'er registrerede i 2023. Virksomheden fik dog først løst sårbarheden i oktober sidste år. 

Alle disse sårbarheder gjorde det muligt for kriminelle nemt at infiltrere de angrebne netværk ved at bruge legitimationsoplysninger og legitim software, hvilket gør det næsten umuligt at opdage disse invasioner. Derfra bevægede kriminelle sig sidelæns inden for disse netværk og implementerede malware, hvilket hjalp med det langsigtede spionagearbejde. 

Det, der er alarmerende i de seneste angreb, er, at de metoder, der bruges af Salt Typhoon Group-hackere, er i overensstemmelse med den langsigtede taktik, der er observeret i tidligere kampagner, der tilskrives kinesiske statsagenter. Disse metoder omfatter brugen af legitime legitimationsoplysninger til at maskere ondsindede aktiviteter såsom rutineoperationer, hvilket gør det vanskeligt at identificere ved konventionelle sikkerhedssystemer. Fokus på udbredt software såsom VPN'er og firewalls demonstrerer et dybtgående kendskab til sårbarheder i virksomheds- og regeringsmiljøer.

sårbarhedsproblemet

De udnyttede sårbarheder afslører også et bekymrende mønster: forsinkelser i anvendelsen af patches og opdateringer. På trods af de korrektioner, som producenterne stiller til rådighed, gør den operationelle virkelighed hos mange virksomheder det vanskeligt at implementere disse løsninger med det samme. Kompatibilitetstests, behovet for at undgå afbrydelser i missionskritiske systemer og i nogle tilfælde den manglende bevidsthed om sværhedsgraden af fejlene bidrager til stigningen i eksponeringsvinduet.

Dette spørgsmål er ikke kun teknisk, men også organisatorisk og strategisk, der involverer processer, prioriteter og ofte virksomhedskultur.

Et kritisk aspekt er, at mange virksomheder behandler anvendelsen af patches som en “sekundær” opgave sammenlignet med operationel kontinuitet. Dette skaber det såkaldte nedetidsdilemma, hvor ledere skal vælge mellem den øjeblikkelige serviceafbrydelse for at opdatere systemer og den potentielle risiko for fremtidig udnyttelse. De seneste angreb viser dog, at det kan være meget dyrere at forsinke disse opdateringer, både hvad angår økonomiske og omdømmemæssige vilkår.

Derudover er kompatibilitetstest en almindelig flaskehals. Mange virksomhedsmiljøer, især i sektorer som telekommunikation, opererer med en kompleks kombination af ældre og moderne teknologier. Dette gør, at hver opdatering kræver en betydelig indsats for at sikre, at patchen ikke forårsager problemer på afhængige systemer. Denne type pleje er forståelig, men den kan afbødes ved at vedtage praksisser såsom mere robuste testmiljøer og automatiserede valideringsprocesser.

Et andet punkt, der bidrager til forsinkelsen i påføringen af patches, er manglen på bevidsthed om sværhedsgraden af fejlene. Ofte undervurderer it-teams vigtigheden af en specifik CVE, især når den ikke er blevet udforsket bredt indtil videre. Problemet er, at mulighederne for angribere kan åbne sig, før organisationer indser problemets alvor. Dette er et felt, hvor trusselsintelligens og klar kommunikation mellem teknologiudbydere og virksomheder kan gøre hele forskellen.

Endelig skal virksomheder tage en mere proaktiv og prioriteret tilgang til sårbarhedsstyring, som omfatter automatisering af patching-processer, segmentering af netværk, begrænsning af virkningen af mulige invasioner, rutinen med regelmæssigt at simulere mulige angreb, som hjælper med at finde de potentielle “svage punkter”. 

Spørgsmålet om patching og opdateringsforsinkelser er ikke kun en teknisk udfordring, men også en mulighed for organisationer til at transformere deres sikkerhedstilgang, hvilket gør den mere agil, tilpasningsdygtig og robust. Frem for alt er denne driftsform ikke ny, og hundredvis af andre angreb udføres med det samme modus operandi, fra sårbarheder, der bruges som gateway. At drage fordel af denne lektion kan være forskellen mellem at være et offer eller at være forberedt på det næste angreb.