Die kürzlichen angeblichen Angriffe der chinesischen Gruppe Salt Typhoon auf Telekommunikationsunternehmen und Länder – darunter Brasilien – haben die ganze Welt in Alarmbereitschaft versetzt. Nachrichten sprechen vom Grad der Raffinesse der Angriffe, und was noch alarmierender ist – die Kriminellen sollen sich theoretisch noch innerhalb der Netzwerke dieser Unternehmen befinden.
Die ersten Informationen über diese Gruppe tauchten im Jahr 2021 auf, als das Threat Intelligence-Team von Microsoft Informationen darüber veröffentlichte, wie China erfolgreich in mehrere Internetdienstanbieter eingedrungen sein soll, um Unternehmen zu überwachen und Daten zu erfassen. Einer der ersten Angriffe der Gruppe erfolgte durch eine Sicherheitslücke in Cisco-Routern, die als Gateway dienten, um Internetaktivitäten, die über diese Geräte liefen, zu überwachen. Sobald der Zugriff erlangt wurde, konnten die Hacker ihre Reichweite auf weitere Netzwerke ausdehnen. Im Oktober 2021 bestätigte Kaspersky, dass die Cyberkriminellen die Angriffe bereits auf andere Länder wie Vietnam, Indonesien, Thailand, Malaysia, Ägypten, Äthiopien und Afghanistan ausgeweitet hatten.
Wenn die ersten Schwachstellen bereits seit 2021 bekannt waren – warum wurden wir dann trotzdem angegriffen? Die Antwort liegt genau darin, wie wir im Alltag mit diesen Schwachstellen umgehen.
Vergewaltigungsmethode
In den letzten Tagen haben Informationen der US-Regierung eine Reihe von Angriffen auf „Unternehmen und Länder“ bestätigt – die angeblich aufgrund bekannter Schwachstellen in einer VPN-Anwendung des Herstellers Ivanti, im Fortinet FortiClient EMS, das zur Überwachung von Servern, in Sophos-Firewalls und auch in Microsoft Exchange-Servern verwendet wird, stattgefunden haben.
Die Schwachstelle von Microsoft wurde 2021 veröffentlicht, als das Unternehmen kurz darauf die Korrekturen veröffentlichte. Der Fehler in den Sophos-Firewalls wurde im Jahr 2022 veröffentlicht und im September 2023 behoben. Die im Forticlient gefundenen Probleme wurden 2023 öffentlich gemacht und im März 2024 behoben – ebenso wie die von Ivanti, deren CVEs (Common Vulnerabilities and Exposures) ebenfalls im Jahr 2023 registriert wurden. Das Unternehmen hat die Schwachstelle jedoch erst im vergangenen Oktober behoben.
Alle diese Schwachstellen ermöglichten es den Kriminellen, sich leicht in die angegriffenen Netzwerke zu infiltrieren, indem sie legitime Anmeldeinformationen und Software verwendeten, was die Erkennung dieser Angriffe nahezu unmöglich macht. Von da an bewegten sich die Kriminellen seitlich innerhalb dieser Netzwerke, indem sie Malware einsetzten, die bei der langfristigen Spionagearbeit half.
Was alarmierend an den jüngsten Angriffen ist, ist, dass die von den Hackern der Gruppe Salt Typhoon verwendeten Methoden mit den langfristigen Taktiken übereinstimmen, die in früheren Kampagnen beobachtet wurden und denen chinesischer staatlicher Akteure zugeschrieben werden. Diese Methoden umfassen die Verwendung legitimer Anmeldeinformationen, um bösartige Aktivitäten als routinemäßige Operationen zu verschleiern, was die Erkennung durch herkömmliche Sicherheitssysteme erschwert. Der Fokus auf weit verbreitete Software wie VPNs und Firewalls zeigt ein tiefgehendes Verständnis der Schwachstellen in Unternehmens- und Regierungsumgebungen.
Das Problem der Schwachstellen
Die ausgenutzten Schwachstellen zeigen ebenfalls ein besorgniserregendes Muster: Verzögerungen bei der Anwendung von Patches und Updates. Trotz der von den Herstellern bereitgestellten Korrekturen erschwert die operative Realität vieler Unternehmen die sofortige Umsetzung dieser Lösungen. Kompatibilitätstests, die Notwendigkeit, Unterbrechungen in kritischen Systemen zu vermeiden, und in einigen Fällen das mangelnde Bewusstsein für die Schwere der Fehler tragen zur Verlängerung des Expositionsfensters bei.
Dabei handelt es sich nicht nur um ein technisches, sondern auch um ein organisatorisches und strategisches Problem, das Prozesse, Prioritäten und häufig auch die Unternehmenskultur betrifft.
Ein kritischer Aspekt ist, dass viele Unternehmen die Anwendung von Patches als eine „sekundäre“ Aufgabe im Vergleich zur betrieblichen Kontinuität betrachten. Dies führt zu dem sogenannten Ausfall-Dilemma, bei dem die Führungskräfte entscheiden müssen zwischen vorübergehender Unterbrechung der Dienste zur Systemaktualisierung und dem potenziellen Risiko einer zukünftigen Ausnutzung. Dennoch zeigen die jüngsten Angriffe, dass das Verschieben dieser Updates viel teurer werden kann, sowohl finanziell als auch reputationsmäßig.
Darüber hinaus sind Kompatibilitätstests eine häufige Engstelle. Viele Unternehmensumgebungen, insbesondere in Branchen wie Telekommunikation, arbeiten mit einer komplexen Kombination aus veralteten und modernen Technologien. Dies führt dazu, dass jede Aktualisierung einen erheblichen Aufwand erfordert, um sicherzustellen, dass der Patch keine Probleme in abhängigen Systemen verursacht. Diese Art der Vorsicht ist verständlich, kann jedoch durch die Einführung von Praktiken wie robusteren Testumgebungen und automatisierten Validierungsprozessen gemildert werden.
Ein weiterer Punkt, der zum Verzögern bei der Anwendung von Patches beiträgt, ist das mangelnde Bewusstsein für die Schwere der Fehler. Oftmals unterschätzen IT-Teams die Bedeutung einer bestimmten CVE, vor allem wenn sie bisher nicht umfassend ausgenutzt wurde. Das Problem ist, dass sich das Gelegenheitsfenster für Angreifer öffnen kann, bevor die Organisationen die Schwere des Problems erkennen. Dies ist ein Bereich, in dem Bedrohungsintelligenz und klare Kommunikation zwischen Technologieanbietern und Unternehmen den Unterschied ausmachen können.
Schließlich müssen Unternehmen einen proaktiveren und priorisierten Ansatz für das Schwachstellenmanagement verfolgen, der die Automatisierung der Patch-Prozesse, die Segmentierung der Netzwerke zur Begrenzung der Auswirkungen möglicher Angriffe, regelmäßige Simulationen potenzieller Angriffe umfasst, um potenzielle „Schwachstellen“ zu identifizieren.
Das Problem der Verzögerungen bei Patches und Updates ist nicht nur eine technische Herausforderung, sondern auch eine Chance für Organisationen, ihren Sicherheitsansatz zu transformieren, ihn agiler, anpassungsfähiger und widerstandsfähiger zu gestalten. Vor allem ist diese Betriebsart nicht neu, und Hunderte anderer Angriffe werden mit derselben durchgeführt.Arbeitsweise,aus Schwachstellen, die als Einstiegspunkte genutzt werden. Das Nutzen dieser Lektion kann den Unterschied ausmachen zwischen Opfer zu sein oder auf den nächsten Angriff vorbereitet zu sein.
