Viimeaikaiset hyökkäykset väitetysti toteutettu kiinalaisen Salt Typhoon ryhmän telekommunikaatioyhtiöihin ja maihin – heidän joukossa olisi Brasilia – jätti koko maailman hälytykseen. Uutiset puhuvat hyökkäysten kehittyneisyyden tasosta ja, mikä on enemmän huolestuttavaa – rikolliset, theoretisesti, vielä olisivat näiden yritysten verkostojen sisällä
Ensimmäiset tiedot tästä ryhmästä ilmestyivät vuonna 2021, kun Microsoftin Threat Intelligence -tiimi julkaisi tietoja siitä miten Kiina olisi tunkeutunut onnistuneesti useisiin internet-palveluntarjoajiin, tarkkailemaan yrityksiä – ja tallentaa tietoja. Yksi ensimmäisistä hyökkäyksistä suoritettu ryhmä oli alkaen rikkomus Cisco reitittimissä, jotka palvelivat porttina monitoroimaan internetin aktiviteetteja tapahtuen näiden laitteiden kautta. Kun kerran että pääsy oli saatu, hakkerit onnistuivat laajentamaan ulottuvuuttaan lisä verkkoihin. Lokakuussa 2021, kaspersky vahvisti että kyberrikolliset olivat jo laajentaneet hyökkäyksiä muihin maihin kuten Vietnamiin, Indonesia, Thaimaa, Malesiaa Egypti, Etiopia ja Afghaniistan.
Jos ensimmäiset haavoittuvuudet olivat jo tiedossa vuodesta 2021 – miksei meitä vielä hyökätty? Vastaus on, juuri, siinä miten käsittelemme näitä haavoittuvuuksia päivästä toiseen
Rikkomuksen menetelmä
Nyt, viime päivissä, tiedot yhdysvaltalaisesta hallituksesta vahvistivat sarjan hyökkäyksiä ⁇ yrityksiin ja maihin ⁇ – jotka olisivat tapahtuneet tuttujen haavoittuvuuksien pohjalta VPN:n sovelluksessa, valmistajan Ivanti, Fortinet Forticlient EMS:ssä, käytetty tekemään seurannan palvelimissa, Sophos firewallsissa ja myös Microsoft Exchange palvelimissa.
Microsoftin haavoittuvuus julkaistiin vuonna 2021 kun, heti seuran jälkeen, yhtiö julkaisi korjaukset. Puutte Sophos firewalleissa julkaistiin vuonna 2022 – ja korjattu syyskuussa 2023. Forticlientissä löydetyt ongelmat tulivat julkiseksi vuonna 2023, ja korjatut maaliskuussa 2024 – samoin kuin Ivanti:n, jotka myös olivat CVE (Common Vulnerabilities and Exposures) kirjautuneet vuonna 2023. Yritys, kuitenkin, vain korjasi haavoittuvuuden viime lokakuussa.
Kaikki nämä haavoittuvuudet sallivat rikollisten helposti soluttautua hyökättyihin verkkoihin, käyttäen todistuksia ja softwaria laillisia, mikä tekee havaitsemisen näistä hyökkäyksistä lähes mahdotonta. Siitä lähtien, rikolliset liikkuivat sivusuunnassa näiden verkkojen sisällä, sijoittamalla malwares, jotka auttoivat pitkäaikaisessa vakoilutyössä.
Se mikä on huolestuttavaa viimeaikaisissa hyökkäyksissä on että Salt Typhoon ryhmän hakkereiden käyttämät menetelmät ovat johdonmukaisia pitkän aikavälin taktiikoiden kanssa havaittu aikaisemmissa kampanjoissa kohdistettuja kiinalaisiin valtiollisiin agentteihin. Nämä menetelmät sisältävät laillisten tunnisteiden käytön naamioimaan haitallisia aktiviteetteja kuten rutiininomaisia operaatioita, vaikeuttaen tunnistamista tavanomaisilla turvallisuusjärjestelmillä. Keskittyminen laajalti käytettyihin softwares, kuten VPNs ja firewalls, osoittaa syvällisen tietämyksen haavoittuvuuksista yritys- ja hallituksen ympäristöissä
Haavoittuvuuksien ongelma
Hyödytetyt haavoittuvuudet myös paljastavat huolestuttavan mallin: viiveet patchien soveltamisessa ja päivityksiä. Vaikka korjaukset tarjottu valmistajien, monien yritysten operatiivinen todellisuus vaikeuttaa näiden ratkaisujen välitöntä toteuttamista. Yhteensopivuustestit, tarpeen välttää keskeytyksiä tehtävän kriittisissä järjestelmissä; ja, joissakin tapauksissa, tietoisuuden puute puutteiden vakavuudesta edistävät altistuksen ikkunan lisäämistä
Tämä kysymys ei ole vain tekninen, mutta myös organisatorinen ja strateginen, käsitteleviä prosesseja, prioriteetteja ja, monia kertoja, yrityskulttuuri
Kriittinen näkökohta on että monet yritykset kohtelevat patchien soveltamista kuin ⁇ toissijaista ⁇ tehtävää verrattuna operatiiviseen jatkuvuuteen. Tämä luo niin sanotun downtimeen dilemman, jossa johtajien täytyy päättää väliaikaisen palveluiden keskeytyksen päivittää järjestelmiä ja potentiaalisen riskin tulevasta exploataatiosta. Kuitenkin, viimeaikaiset hyökkäykset osoittavat että lykkääminen näitä päivityksiä voi tulla paljon kalliimmaksi, sekä taloudellisissa että maineellisissa termeissä
Lisäksi, yhteensopivuustestit ovat yleinen umpikuja. Monet yritysympäristö, erityisesti aloilla kuten televiestintä, toimivat monimutkaisella yhdistelmällä perinnöllisiä ja moderneja teknologioita. Tämä tekee siitä, että jokainen päivitys vaatii huomattavan ponnistelun varmistaakseen, että patch ei aiheuta ongelmia riippuvaisissa järjestelmissä. Tällainen huolellisuus on ymmärrettävää, mutta sitä voidaan lieventää omaksumalla käytäntöjä kuten vahvempia testausympäristöjä ja automatisoituja validointiprosesseja
Toinen kohta joka edistää viivästystä patchien soveltamisessa on tietoisuuden puuttuminen virheiden vakavuudesta. Usein, IT-tiimit aliarvioivat konkreettisen CVE:n merkityksen, varsinkin kun se ei ole laajalti hyödynnetty tähän mennessä. Ongelma on, että mahdollisuuden ikkuna hyökkääjille voi avautua ennen kuin organisaatiot tajuavat ongelman vakavuuden. Tämä on ala, jossa uhkien äly ja selkeä viestintä teknologian tarjoajien ja yritysten välillä voivat tehdä kaiken eron
Lopuksi, yritykset tarvitsevat omaksua proaktiivisemman ja priorisoidun lähestymistavan haavoittuvuuksien hallintaan, mikä sisältää patching-prosessien automatisoinnin, verkkojen segmentaatiota, rajoittamalla vaikutuksen mahdollisista hyökkäyksistä, rutiini simuloimaan säännöllisesti mahdollisia hyökkäyksiä, mikä auttaa löytämään potentiaaliset ⁇ heikot pisteet ⁇.
Kysymys viivästyksistä patcheissa ja päivityksissä ei ole vain tekninen haaste, mutta myös tilaisuus organisaatioille transformata lähestymistapansa turvallisuuteen, tekemällä sen ketterämmän, mukautuva ja resilientti. Kaiken yläpuolella, tämä toimintatapa ei ole uusi, ja satoja muita hyökkäyksiä suoritetaan samallatoimintatapa, alkaen haavoittuvuuksista jotka ovat käytetty sisäänkäyntiporttina. Hyödyntää tätä opetusta voi olla eroavaisuus joko olla uhri tai olla valmis seuraavalle hyökkäykselle
