Kiinalaisen Salt Typhoon -ryhmän väitettyjen hyökkäysten televiestintäyrityksiä ja maita vastaan – Brasilia mukaanlukien – herättämät pelot ovat levinneet ympäri maailmaa. Uutiset kertovat hyökkäysten kehittyneisyydestä ja vieläkin hälyttävämmästä seikasta – rikolliset olisivat yhä kyseisten yritysten verkoissa.
Ensimmäiset tiedot tästä ryhmästä ilmestyivät vuonna 2021, kun Microsoftin uhkaälytiimi julkaisi tietoja Kiinan väitetystä onnistuneesta soluttautumisesta useisiin internet-palveluntarjoajiin yritysten valvontaa ja tietojen keräämistä varten. Yksi ryhmän ensimmäisistä hyökkäyksistä tapahtui Cisco-reitittimien tietoturva-aukkojen kautta, joita käytettiin internet-aktiviteetin valvontaan näiden laitteiden kautta. Kun pääsy oli saatu, hakkereilla oli mahdollisuus laajentaa toimintaansa lisäverkkoihin. Lokakuussa 2021 Kaspersky vahvisti, että kyberrikolliset olivat jo laajentaneet hyökkäyksiään muihin maihin, kuten Vietnamiin, Indonesiaan, Thaimaahan, Malesiaan, Egyptiin, Etiopiaan ja Afganistaniin.
Vaikka ensimmäiset haavoittuvuudet olivat tiedossa jo vuodesta 2021 – miksi meitä silti hyökättiin? Vastaus piilee juuri siinä, miten me käsittelimme näitä haavoittuvuuksia päivittäisessä toiminnassamme.
Raiskausmenetelmä
Viime päivinä Yhdysvaltain hallituksen tiedot ovat vahvistaneet useita hyökkäyksiä "yrityksiä ja maita vastaan" – hyökkäysten väitetään tapahtuneen Ivanti-valmistajan VPN-sovelluksen tunnettujen haavoittuvuuksien kautta, sekä Fortinet Forticlient EMS:n kautta, jota käytetään palvelimien valvontaan, Sophos-palomureilla sekä Microsoft Exchange -palvelimilla.
Microsoftin haavoittuvuus paljastettiin vuonna 2021, ja yritys julkaisi korjaukset pian sen jälkeen. Sophosin palomuurien heikkous julkaistiin vuonna 2022 – ja korjattiin syyskuussa 2023. Forticlient-ohjelmistossa havaitut ongelmat tulivat julkisiksi vuonna 2023 ja korjattiin maaliskuussa 2024 – samoin kuin Ivanti-ohjelmiston ongelmat, joiden CVE-numerot (Common Vulnerabilities and Exposures) rekisteröitiin myös vuonna 2023. Yritys kuitenkin korjasi haavoittuvuuden vasta viime lokakuussa.
Kaikki nämä haavoittuvuudet mahdollistivat hyökkääjien helpon pääsyn hyökkäyksen kohteena olleisiin verkkoihin käyttämällä oikeutettuja tunnuksia ja ohjelmistoja, mikä teki näiden hyökkäysten havaitsemisen lähes mahdottomaksi. Tämän jälkeen hyökkääjät liikkuivat sivusuunnassa näissä verkoissa ja asensivat haittaohjelmia, jotka avustivat pitkäaikaista vakoilutoimintaa.
Viimeaikaisissa hyökkäyksissä hälyttävää on se, että Salt Typhoon -ryhmän hakkereiden käyttämät menetelmät vastaavat pitkäaikaisia taktiikoita, joita on havaittu aiemmissa kampanjoissa, jotka on liitetty Kiinan valtion toimijoihin. Näihin menetelmiin kuuluu oikeutettujen tunnusten käyttö peittämään haitalliset toiminnot tavanomaisiksi operaatioiksi, mikä vaikeuttaa niiden tunnistamista tavanomaisilla tietoturvajärjestelmillä. Keskittyminen laajasti käytettyihin ohjelmistoihin, kuten VPN-palveluihin ja palomuureihin, osoittaa syvällistä ymmärrystä yritysten ja hallituksen ympäristöjen haavoittuvuuksista.
Haavoittuvuusongelma
Hyödyntämät haavoittuvuudet paljastavat myös huolestuttavan trendin: tietoturvapäivitysten ja -korjausten käyttöönotto viivästyy. Vaikka valmistajat tarjoavat korjauksia, monien yritysten käytännön toiminta vaikeuttaa näiden ratkaisujen välitöntä käyttöönottoa. Yhteensopivuustestaus, kriittisten järjestelmien keskeytysten välttämisen tarve ja joissakin tapauksissa tietoturvaongelmien vakavuuden ymmärtämisen puute pidentävät altistumisikkunan kestoa.
Tämä kysymys ei ole pelkästään tekninen, vaan myös organisaatio- ja strategia-kysymys, joka koskee prosesseja, prioriteetteja ja usein myös yrityskulttuuria.
Kriittinen näkökulma on, että monet yritykset käsittelevät tietoturvapäivitysten asentamista ”toissijaisena” tehtävänä verrattuna operatiivisen toiminnan jatkuvuuteen. Tämä luo niin sanotun käyttökatkosten dilemma, jossa johto joutuu päättämään hetkellisen palvelukatkon järjestelmien päivitystä varten ja tulevan tietoturvaloukkauksen potentiaalisen riskin välillä. Viimeaikaiset hyökkäykset osoittavat kuitenkin, että näiden päivitysten lykkääminen voi olla paljon kalliimpaa sekä taloudellisesti että maineen kannalta.
Lisäksi yhteensopivuuskokeet ovat usein pullonkaula. Monet yritysympäristöt, erityisesti sellaisilla aloilla kuin televiestintä, toimivat monimutkaisella sekoituksella vanhaa ja uutta teknologiaa. Tämä tarkoittaa, että jokainen päivitys vaatii merkittävää työtä sen varmistamiseksi, että korjaukset eivät aiheuta ongelmia riippuvaisissa järjestelmissä. Tämäntyyppinen varovaisuus on ymmärrettävää, mutta sitä voidaan lieventää käyttöönottamalla esimerkiksi vankempia testausympäristöjä ja automatisoituja validointiprosesseja.
Toinen viiveeseen korjaustiedostojen käyttöönotossa vaikuttava tekijä on tietoisuuden puute haavoittuvuuksien vakavuudesta. IT-tiimit aliarvioivat usein tietyn CVE:n tärkeyden, varsinkin jos sitä ei ole vielä laajasti käytetty hyväksi. Ongelmana on, että hyökkääjien mahdollisuusikkuna voi avautua ennen kuin organisaatiot ymmärtävät ongelman vakavuuden. Tämä on ala, jossa uhkaäly ja selkeä viestintä teknologiatoimittajien ja yritysten välillä voivat tehdä suuren eron.
Lopulta yritysten on otettava käyttöön ennaltaehkäisevämpi ja priorisoidumpi haavoittuvuuksien hallintastrategia. Tämä sisältää korjaustiedostojen asennusprosessien automatisoinnin, verkkojen segmentoinnin rajoittaen mahdollisten hyökkäysten vaikutusta, sekä säännöllisiä simuloitujen hyökkäysten harjoituksia, jotka auttavat tunnistamaan potentiaaliset heikkoudet.
Viivästykset tietoturvapäivitysten ja -korjauksien osalta eivät ole pelkästään tekninen haaste, vaan myös mahdollisuus organisaatioille muuttaa tietoturvallisuuslähestymistapaansa ketterämmäksi, mukautuvammaksi ja resilientimmäksi. Ennen kaikkea tämä toimintamalli ei ole uusi, ja satoja muita hyökkäyksiä tehdään samalla tavalla. toimintamalli hyödyntäen heikkouksia, joita käytetään sisäänpääsykohtina. Tästä opituista voidaan tehdä ratkaiseva ero sen välillä, että on uhri vai valmistautunut seuraavaan hyökkäykseen.
