I recenti attacchi presumibilmente condotti dal gruppo cinese Salt Typhoon contro aziende di telecomunicazioni e paesi – tra cui si dice ci sia il Brasile – hanno messo in allerta il mondo intero. Le notizie parlano del livello di sofisticazione delle intrusioni e, ciò che è più allarmante, i criminali teoricamente sarebbero ancora all'interno delle reti di queste aziende.
Le prime informazioni su questo gruppo sono emerse nel 2021, quando il team Threat Intelligence di Microsoft ha diffuso informazioni su come la Cina avrebbe avuto successo nell'infiltrazione di diversi provider di servizi internet, per spiare le aziende e rubare dati. Uno dei primi attacchi condotti dal gruppo è avvenuto tramite la violazione di router Cisco, utilizzati come gateway per monitorare le attività internet che transitavano attraverso questi dispositivi. Una volta ottenuto l'accesso, gli hacker sono riusciti ad espandere il loro raggio d'azione ad altre reti. Nell'ottobre 2021, Kaspersky ha confermato che i criminali informatici avevano già esteso gli attacchi ad altri paesi come Vietnam, Indonesia, Thailandia, Malesia, Egitto, Etiopia e Afghanistan.
Se le prime vulnerabilità erano già note dal 2021 – perché siamo stati comunque attaccati? La risposta sta proprio nel modo in cui abbiamo gestito queste vulnerabilità nella pratica quotidiana.
Metodo di violazione
Ora, negli ultimi giorni, informazioni provenienti dal governo statunitense hanno confermato una serie di attacchi a "aziende e paesi" – avvenuti sfruttando vulnerabilità note in un'applicazione VPN del produttore Ivanti, nel Fortinet Forticlient EMS, utilizzato per il monitoraggio di server, in firewall Sophos e anche in server Microsoft Exchange.
La vulnerabilità Microsoft è stata divulgata nel 2021, con la successiva pubblicazione delle patch da parte dell'azienda. Il difetto nei firewall Sophos è stato reso pubblico nel 2022 – e corretto a settembre 2023. I problemi riscontrati in Forticlient sono diventati pubblici nel 2023, e risolti a marzo 2024 – così come quelli di Ivanti, che hanno visto i loro CVE (Common Vulnerabilities and Exposures) registrati nel 2023. L'azienda, tuttavia, ha corretto la vulnerabilità solo lo scorso ottobre.
Tutte queste vulnerabilità hanno permesso ai criminali di infiltrarsi facilmente nelle reti attaccate, utilizzando credenziali e software legittimi, rendendo quasi impossibile il rilevamento di queste intrusioni. Da lì, i criminali si sono mossi lateralmente all'interno di queste reti, implementando malware che hanno supportato attività di spionaggio a lungo termine.
Ciò che è allarmante nei recenti attacchi è che i metodi utilizzati dagli hacker del gruppo Salt Typhoon sono coerenti con le tattiche a lungo termine osservate in precedenti campagne attribuite ad agenti statali cinesi. Questi metodi includono l'uso di credenziali legittime per mascherare attività malevole come operazioni di routine, rendendone difficile l'identificazione da parte dei sistemi di sicurezza convenzionali. L'attenzione su software ampiamente utilizzati, come VPN e firewall, dimostra una profonda conoscenza delle vulnerabilità negli ambienti aziendali e governativi.
Il problema delle vulnerabilità
Le vulnerabilità sfruttate rivelano anche una tendenza preoccupante: ritardi nell'applicazione di patch e aggiornamenti. Nonostante le correzioni messe a disposizione dai produttori, la realtà operativa di molte aziende rende difficile l'implementazione immediata di tali soluzioni. Test di compatibilità, la necessità di evitare interruzioni in sistemi mission-critical e, in alcuni casi, la mancanza di consapevolezza sulla gravità delle falle contribuiscono ad aumentare la finestra di esposizione.
Questa questione non è solo tecnica, ma anche organizzativa e strategica, coinvolgendo processi, priorità e, spesso, la cultura aziendale.
Un aspetto critico è che molte aziende considerano l'applicazione delle patch un compito "secondario" rispetto alla continuità operativa. Questo crea il cosiddetto dilemma del downtime, in cui i leader devono decidere tra l'interruzione momentanea dei servizi per aggiornare i sistemi e il rischio potenziale di una futura violazione. Tuttavia, i recenti attacchi dimostrano che rimandare questi aggiornamenti può rivelarsi molto più costoso, sia in termini finanziari che reputazionali.
Inoltre, i test di compatibilità rappresentano un collo di bottiglia comune. Molti ambienti aziendali, specialmente in settori come le telecomunicazioni, operano con una complessa combinazione di tecnologie legacy e moderne. Questo fa sì che ogni aggiornamento richieda uno sforzo considerevole per garantire che la patch non causi problemi ai sistemi dipendenti. Questo tipo di attenzione è comprensibile, ma può essere mitigato adottando pratiche come ambienti di test più robusti e processi di validazione automatizzati.
Un altro fattore che contribuisce al ritardo nell'applicazione delle patch è la mancanza di consapevolezza sulla gravità delle vulnerabilità. Spesso, i team IT sottovalutano l'importanza di un CVE specifico, soprattutto quando non è stato ampiamente sfruttato fino a quel momento. Il problema è che la finestra di opportunità per gli attaccanti potrebbe aprirsi prima che le organizzazioni si rendano conto della gravità del problema. Questo è un ambito in cui l'intelligence sulle minacce e una chiara comunicazione tra i fornitori di tecnologia e le aziende possono fare la differenza.
Infine, le aziende devono adottare un approccio più proattivo e prioritario alla gestione delle vulnerabilità, che include l'automazione dei processi di patching, la segmentazione delle reti, limitando l'impatto di possibili intrusioni, la routine di simulazione regolare di possibili attacchi, il che aiuta a trovare i potenziali "punti deboli".
La questione dei ritardi nelle patch e negli aggiornamenti non è solo una sfida tecnica, ma anche un'opportunità per le organizzazioni di trasformare il loro approccio alla sicurezza, rendendolo più agile, adattabile e resiliente. Soprattutto, questo modo di operare non è nuovo, e centinaia di altri attacchi vengono effettuati allo stesso modo. modus operandi a partire da vulnerabilità utilizzate come punto di ingresso. Trarre insegnamento da questa esperienza può fare la differenza tra essere vittima o essere preparati al prossimo attacco.
