I recenti attacchi presumibilmente effettuati dal gruppo cinese Salt Typhoon a aziende di telecomunicazioni e paesi – tra cui il Brasile – hanno messo il mondo intero in allerta. Le notizie parlano del livello di sofisticazione degli attacchi e, cosa più allarmante, i criminali, teoricamente, sarebbero ancora all'interno delle reti di queste aziende.
Le prime informazioni su questo gruppo sono emerse nel 2021, quando il team di Threat Intelligence di Microsoft ha divulgato informazioni su come la Cina si fosse infiltrata con successo in diversi fornitori di servizi Internet, per sorvegliare le aziende e catturare dati. Uno dei primi attacchi effettuati dal gruppo è stato a partire da una violazione nei router Cisco, che fungevano da gateway per monitorare le attività internet che si svolgevano attraverso questi dispositivi. Una volta ottenuto l'accesso, gli hacker riuscivano ad espandere la loro portata ad altre reti. A ottobre 2021, Kaspersky ha confermato che i cybercriminali avevano già esteso gli attacchi ad altri paesi come Vietnam, Indonesia, Thailandia, Malesia, Egitto, Etiopia e Afghanistan.
Se as primeiras vulnerabilidades já eram conhecidas desde 2021 – por que ainda fomos atacados? La risposta risiede, proprio, nel modo in cui affrontiamo queste vulnerabilità nella vita quotidiana.
Metodo stupro
Ora, negli ultimi giorni, le informazioni del governo statunitense hanno confermato una serie di attacchi a "aziende e paesi" – che sarebbero avvenuti a partire da vulnerabilità note in un'applicazione VPN del produttore Ivanti, nel Fortinet Forticlient EMS, usato per il monitoraggio dei server, nei firewall Sophos e anche nei server Microsoft Exchange.
La vulnerabilità di Microsoft è stata divulgata nel 2021, quando, subito dopo, l'azienda ha pubblicato le correzioni. La falla nei firewall Sophos è stata pubblicata nel 2022 e corretta a settembre 2023. I problemi riscontrati nel Forticlient sono diventati pubblici nel 2023 e sono stati corretti a marzo 2024, così come quelli di Ivanti, che hanno anch'essi registrato i loro CVE (Common Vulnerabilities and Exposures) nel 2023. L'azienda, tuttavia, ha corretto la vulnerabilità solo lo scorso ottobre.
Tutte queste vulnerabilità hanno permesso ai criminali di infiltrarsi facilmente nelle reti attaccate, utilizzando credenziali e software legittimi, rendendo quasi impossibile la rilevazione di queste intrusioni. Da lì, i criminali si sono mossi lateralmente all'interno di queste reti, implementando malware che hanno aiutato nel lavoro di spionaggio a lungo termine.
Ciò che è allarmante nei recenti attacchi è che i metodi utilizzati dagli hacker del gruppo Salt Typhoon sono coerenti con le tattiche a lungo termine osservate in campagne precedenti attribuite a agenti statali cinesi. Questi metodi includono l'uso di credenziali legittime per mascherare attività dannose come operazioni di routine, rendendo più difficile l'identificazione da parte dei sistemi di sicurezza convenzionali. L'attenzione su software ampiamente utilizzati, come VPN e firewall, dimostra una conoscenza approfondita delle vulnerabilità negli ambienti aziendali e governativi.
Il problema delle vulnerabilità
Le vulnerabilità sfruttate rivelano anche uno schema preoccupante: ritardi nell'applicazione di patch e aggiornamenti. Nonostante le correzioni fornite dai produttori, la realtà operativa di molte aziende rende difficile l'implementazione immediata di queste soluzioni. Test di compatibilità, la necessità di evitare interruzioni nei sistemi di missione critica e, in alcuni casi, la mancanza di consapevolezza sulla gravità dei guasti contribuiscono all'aumento della finestra di esposizione.
Si tratta di una questione non solo tecnica, ma anche organizzativa e strategica, che coinvolge processi, priorità e, spesso, la cultura aziendale.
Un aspetto critico è che molte aziende trattano l'applicazione delle patch come un compito "secondario" rispetto alla continuità operativa. Questo crea il cosiddetto dilemma del downtime, in cui i leader devono decidere tra l'interruzione momentanea dei servizi per aggiornare i sistemi e il potenziale rischio di un'eventuale futura exploit. Tuttavia, gli attacchi recenti dimostrano che posticipare questi aggiornamenti può costare molto di più, sia in termini finanziari che reputazionali.
Inoltre, i test di compatibilità sono un collo di bottiglia comune. Molti ambienti aziendali, specialmente nei settori come le telecomunicazioni, operano con una complessa combinazione di tecnologie legacy e moderne. Ciò fa sì che ogni aggiornamento richieda uno sforzo considerevole per garantire che la patch non causi problemi nei sistemi dipendenti. Questo tipo di attenzione è comprensibile, ma può essere mitigato adottando pratiche come ambienti di test più robusti e processi automatizzati di convalida.
Un altro aspetto che contribuisce al ritardo nell'applicazione delle patch è la mancanza di consapevolezza sulla gravità delle vulnerabilità. Spesso, i team IT sottovalutano l'importanza di un CVE specifico, soprattutto quando non è stato ampiamente sfruttato fino a quel momento. Il problema è che la finestra di opportunità per gli attaccanti può aprirsi prima che le organizzazioni si rendano conto della gravità del problema. Questo è un campo in cui l'intelligenza delle minacce e una comunicazione chiara tra i fornitori di tecnologia e le aziende possono fare tutta la differenza.
Infine, le aziende devono adottare un approccio più proattivo e prioritario alla gestione delle vulnerabilità, che include l'automazione dei processi di patching, la segmentazione delle reti, limitando l'impatto di possibili intrusioni, la routine di simulare regolarmente possibili attacchi, il che aiuta a individuare i potenziali "punti deboli".
La questione dei ritardi nelle patch e negli aggiornamenti non è solo una sfida tecnica, ma anche un'opportunità per le organizzazioni di trasformare il loro approccio alla sicurezza, rendendolo più agile, adattabile e resiliente. Soprattutto, questo modo di operare non è nuovo, e centinaia di altri attacchi vengono effettuati con lo stesso metodometodo di funzionamento,a partire da vulnerabilità che vengono utilizzate come porta d'ingresso. Sfruttare questa lezione può essere la differenza tra essere vittima o essere preparati per il prossimo attacco.
