Äskiset hyökkäykset, joita kiinalainen Salt Typhoon -ryhmä väitetysti toteutti teleyrityksiä ja maita vastaan – mukaan lukien Brasilia – ovat saaneet koko maailman varuille. Uutiset puhuvat hyökkäysten kehittyneisyydestä ja mikä on vieläkin huolestuttavampaa – rikolliset olisivat teoreettisesti yhä näiden yritysten verkoissa.
Ensimmäiset tiedot tästä ryhmästä ilmestyivät vuonna 2021, kun Microsoftin uhkatiedustelutiimi julkaisi tietoja siitä, kuinka Kiina oli onnistuneesti tunkeutunut useisiin internet-palveluntarjoajiin valvoakseen yrityksiä ja kerätäkseen tietoja. Yksi ryhmän ensimmäisistä hyökkäyksistä oli Cisco-reitittimien tietomurtokohde, jotka toimivat portaalina internettoiminnan valvomiseksi näiden laitteiden kautta. Kun pääsy saavutettiin, hakkerit pystyivät laajentamaan vaikutusalaansa lisäverkkoihin. Lokakuussa 2021 Kaspersky vahvisti, että kyberrikolliset olivat laajentaneet hyökkäyksiään muihin maihin kuten Vietnam, Indonesia, Thaimaa, Malesia, Egypti, Etiopia ja Afganistan.
Jos ensimmäiset haavoittuvuudet olivat tunnettu jo vuodesta 2021 – miksi meidät hyökättiin silti? Vastaus on juuri siinä, miten käsittelemme näitä haavoittuvuuksia arjessamme.
Rikkomuksen menetelmä
Viime päivinä Yhdysvaltain hallituksen tiedot vahvistivat sarjan hyökkäyksiä "yrityksiin ja maihin" – jotka olisivat tapahtuneet tunnetuista haavoittuvuuksista VPN-sovelluksessa, Ivanti-valmistajan Fortinet Forticlient EMS:ssä, jota käytetään palvelimien, Sophosin palomuurien ja Microsoft Exchange -palvelimien valvontaan.
Microsoftin haavoittuvuus julkaistiin vuonna 2021, jolloin yritys julkaisi korjaukset heti perään. Sophosin palomuurien vika julkaistiin vuonna 2022 – ja se korjattiin syyskuussa 2023. Forticlientin löytämät ongelmat tulivat julkisiksi vuonna 2023 ja korjattiin maaliskuussa 2024 – samoin kuin Ivantin ongelmat, joiden CVE-tunnukset (Common Vulnerabilities and Exposures) rekisteröitiin myös vuonna 2023. Yritys korjasi haavoittuvuuden vasta viime lokakuussa.
Kaikki nämä haavoittuvuudet mahdollistivat rikollisten pääsyn helposti hyökättyihin verkkoihin käyttämällä laillisia tunnuksia ja ohjelmistoja, mikä tekee näiden hyökkäysten havaitsemisesta lähes mahdotonta. Siitä lähtien rikolliset liikkuivat sivuttain näissä verkoissa, asentamalla haittaohjelmia, jotka auttoivat pitkäaikaisessa vakoilutyössä.
Mitä huolestuttavaa viimeaikaisissa hyökkäyksissä on, on se, että Salt Typhoon -ryhmän hakkerien käyttämät menetelmät ovat johdonmukaisia aiempien kampanjoiden pitkäaikaisiin taktiikoihin, jotka on liitetty kiinalaisiin valtiollisiin toimijoihin. Näitä menetelmiä ovat oikeiden tunnusten käyttö haitallisten toimintojen peittämiseksi tavallisina operaatioina, mikä vaikeuttaa perinteisten turvallisuusjärjestelmien tunnistamista. Keskittyminen laajasti käytettyihin ohjelmistoihin, kuten VPN- ja palomuuriratkaisuihin, osoittaa syvällistä tietämystä yritys- ja hallintoympäristöjen haavoittuvuuksista.
Haavoittuvuuksien ongelma
Haavoittuvuudet, joita hyödynnetään, paljastavat myös huolestuttavan kuvion: päivitysten ja korjausten viivästykset. Huolimatta valmistajien tarjoamista korjauksista, monien yritysten operatiivinen todellisuus vaikeuttaa näiden ratkaisujen välitöntä toteuttamista. Yhteensopivuustestit, tarve välttää keskeytyksiä kriittisissä järjestelmissä ja joissakin tapauksissa tietoisuuden puute viojen vakavuudesta lisää altistusaikaa.
Tämä kysymys ei ole vain tekninen, vaan myös organisatorinen ja strateginen, sisältäen prosesseja, prioriteetteja ja usein yrityskulttuuria.
Yksi kriittinen näkökohta on, että monet yritykset pitävät korjaustiedostojen soveltamista "toissijaisena" tehtävänä operatiivisen jatkuvuuden rinnalla. Tämä luo niin kutsutun käyttökatkoksen dilemman, jossa johtajien on päätettävä väliaikaisesta palveluiden keskeytyksestä järjestelmäpäivityksiä varten ja mahdollisesta tulevasta hyökkäysriskistä. Kuitenkin viimeaikaiset hyökkäykset osoittavat, että näiden päivitysten lykkääminen voi tulla paljon kalliimmaksi, sekä taloudellisesti että maineen kannalta.
Lisäksi yhteensopivuustestit ovat yleinen pullonkaula. Monet yritysympäristöt, erityisesti telekommunikaatioalalla, toimivat monimutkaisella yhdistelmällä vanhoja ja moderneja teknologioita. Tämä tarkoittaa, että jokainen päivitys vaatii huomattavaa ponnistelua varmistaakseen, ettei korjaus aiheuta ongelmia riippuvaisissa järjestelmissä. Tämäntyyppinen huolenpito on ymmärrettävää, mutta sitä voidaan lieventää ottamalla käyttöön käytäntöjä kuten vankemmat testausympäristöt ja automatisoidut validointiprosessit.
Yksi tekijä, joka myöhästyttää päivitysten soveltamista, on tietoisuuden puute viojen vakavuudesta. Useat kerrat IT-tiimit aliarvioivat tietyn CVE:n tärkeyden, erityisesti silloin, kun sitä ei ole vielä laajasti hyödynnetty. Ongelma on, että hyökkääjien mahdollisuusikkuna voi avautua ennen kuin organisaatiot huomaavat ongelman vakavuuden. Tämä on ala, jossa uhkatiedustelu ja selkeä viestintä teknologiantoimittajien ja yritysten välillä voivat tehdä kaiken eron.
Lopuksi yritysten on otettava käyttöön proaktiivisempi ja priorisoitu lähestymistapa haavoittuvuuksien hallintaan, johon kuuluu patching-prosessien automatisointi, verkkojen segmentointi, mikä rajoittaa mahdollisten hyökkäysten vaikutusta, säännöllisten hyökkäysten simulointien rutiini, mikä auttaa löytämään mahdolliset "heikot kohdat".
Viivästysten korjausten ja päivitysten osalta ei ole pelkästään tekninen haaste, vaan myös mahdollisuus organisaatioille muuttaa turvallisuuslähestymistapaansa, tehdä siitä ketterämpi, sopeutuvampi ja resilientimpi. Ennen kaikkea tämä toimintatapa ei ole uusi, ja satoja muita hyökkäyksiä toteutetaan samalla tavallatoimintatapahaavoittuvuuksista, joita käytetään sisäänkäyntinä. Tämän oppitunnin hyödyntäminen voi olla ero siinä, onko sinä uhri vai valmis seuraavaan hyökkäykseen.
