최근 중국의 Salt Typhoon 그룹이 통신사와 국가를 대상으로 한 공격이 발생했다고 전해진다 – 그들 중에는 브라질이 있을 것이다 – 전 세계를 경계하게 만들었다. 뉴스는 침입의 정교함 수준에 대해 이야기하고, 가장 우려되는 것은 무엇인가 – 범죄자들, 이론적으로, 여전히 이러한 기업들의 네트워크 안에 있을 것이다
이 그룹에 대한 첫 번째 정보는 2021년에 나타났습니다, 마이크로소프트의 위협 인텔리전스 팀이 중국이 여러 인터넷 서비스 제공업체에 성공적으로 침투했음을 알리는 정보를 공개했을 때, 회사를 감시하기 위해 – 데이터를 수집하다. 그룹이 수행한 최초의 공격 중 하나는 Cisco 라우터의 침해를 통해 이루어졌다, 이러한 장치를 통해 발생하는 인터넷 활동을 모니터링하기 위한 게이트웨이 역할을 하는. 접근이 이루어진 후, 해커들은 추가 네트워크로 그들의 범위를 확장할 수 있었다. 2021년 10월에, 카스퍼스키는 사이버 범죄자들이 이미 베트남과 같은 다른 국가로 공격을 확장했다고 확인했다, 인도네시아, 태국, 말레이시아 이집트, 에티오피아와 아프가니스탄.
2021년부터 첫 번째 취약점이 이미 알려져 있었다 – 왜 우리는 아직 공격을 받았나요? 답은 여기 있습니다, 정확히, 우리가 일상에서 이러한 취약점에 어떻게 대처하는지
위반 방법
지금, 최근 며칠 동안, 미국 정부의 정보는 "기업과 국가"에 대한 일련의 공격을 확인했다 – VPN 애플리케이션의 알려진 취약점에서 발생했을 것, 제조업체 Ivanti, 포티넷 포티클라이언트 EMS, 서버 모니터링에 사용됨, 소포스 방화벽과 마이크로소프트 익스체인지 서버에서도.
마이크로소프트의 취약점은 2021년에 공개되었을 때, 로고 순서, 회사가 수정 사항을 발표했습니다. 2022년에 Sophos 방화벽의 취약점이 공개되었다 – 2023년 9월에 수정됨. Forticlient에서 발견된 문제는 2023년에 공개되었다, 2024년 3월에 수정됩니다 – Ivanti의 것들과 마찬가지로, 2023년에 CVE(공통 취약점 및 노출)가 등록된 것들도 있다. 회사가, 그동안, 지난 10월에만 취약점을 수정했습니다.
모든 이러한 취약점은 범죄자들이 공격받은 네트워크에 쉽게 침투할 수 있게 했다, 합법적인 자격 증명과 소프트웨어를 사용하여, 이러한 침입의 탐지를 거의 불가능하게 만드는 것은 무엇인가. 그로부터, 범죄자들은 이러한 네트워크 내에서 수평으로 이동했다, 악성코드 주입, 장기적인 스파이 작업에 도움을 준.
최근 공격에서 우려스러운 점은 Salt Typhoon 그룹 해커들이 사용하는 방법이 중국 국가 행위자들에게 귀속된 이전 캠페인에서 관찰된 장기적인 전술과 일치한다는 것이다. 이러한 방법에는 합법적인 자격 증명을 사용하여 악의적인 활동을 일상적인 작업으로 위장하는 것이 포함됩니다, 전통적인 보안 시스템에 의한 식별을 어렵게 하여. 널리 사용되는 소프트웨어에 대한 집중, VPN과 방화벽, 기업 및 정부 환경의 취약성에 대한 심층적인 지식을 보여줍니다
취약점 문제
탐지된 취약점은 또한 우려스러운 패턴을 드러냅니다: 패치 및 업데이트 적용 지연. 제조업체들이 제공한 수정 사항에도 불구하고, 많은 기업의 운영 현실은 이러한 솔루션의 즉각적인 구현을 어렵게 한다. 호환성 테스트, 임무 중대한 시스템에서 중단을 피할 필요성과, 일부 경우에, 결함의 심각성에 대한 인식 부족은 노출 창의 증가에 기여한다
이 문제는 단순히 기술적인 것이 아니다, 하지만 또한 조직적이고 전략적이다, 프로세스 포함, 우선순위와, 많은 경우, 기업 문화
한 가지 중요한 점은 많은 기업들이 패치 적용을 운영 지속성에 비해 "부차적인" 작업으로 간주한다는 것이다. 이것은 이른바 다운타임 딜레마를 만듭니다, 리더들이 시스템 업데이트를 위해 서비스의 일시 중단과 미래의 잠재적 취약점 악용 위험 사이에서 결정해야 하는 곳. 그럼에도 불구하고, 최근의 공격들은 이러한 업데이트를 미루는 것이 훨씬 더 비쌀 수 있음을 보여줍니다, 재정적 측면과 평판적 측면 모두에서
더불어, 호환성 테스트는 일반적인 병목 현상입니다. 많은 기업 환경, 특히 통신 분야에서, 유산 기술과 현대 기술의 복잡한 조합으로 운영됩니다. 이로 인해 각 업데이트는 종속 시스템에 문제가 발생하지 않도록 보장하기 위해 상당한 노력이 필요합니다. 이런 종류의 배려는 이해할 수 있다, 하지만 더 강력한 테스트 환경과 자동화된 검증 프로세스와 같은 관행을 채택함으로써 완화될 수 있습니다
패치 적용 지연에 기여하는 또 다른 요인은 결함의 심각성에 대한 인식 부족이다. 많은 경우에, IT 팀은 특정 CVE의 중요성을 과소평가합니다, 주로 그가 지금까지 광범위하게 탐색되지 않았을 때. 문제는 공격자에게 기회가 열리는 시점이 조직이 문제의 심각성을 인식하기 전에 발생할 수 있다는 것이다. 이것은 위협 정보와 기술 공급업체와 기업 간의 명확한 커뮤니케이션이 모든 차이를 만들 수 있는 분야입니다
마지막으로, 기업들은 취약점 관리를 위해 보다 적극적이고 우선순위가 있는 접근 방식을 채택해야 한다, 패치 프로세스 자동화에는 무엇이 포함되나요, 네트워크의 세분화, 가능한 침입의 영향을 제한하기, 정기적으로 가능한 공격을 시뮬레이션하는 루틴, 잠재적인 "약점"을 찾는 데 도움이 되는 것.
패치와 업데이트 지연 문제는 단순한 기술적 도전이 아니다, 또한 조직들이 보안 접근 방식을 변화시킬 수 있는 기회이기도 하다, 더 민첩하게 만들기, 적응력이 뛰어나고 회복력이 강한. 무엇보다도, 이 운영 방식은 새롭지 않습니다, 그리고 같은 방식으로 수백 건의 다른 공격이 수행됩니다작동 방식, 취약점을 통해 진입하는 경우. 이 교훈을 활용하는 것은 피해자가 되는 것과 다음 공격에 대비하는 것의 차이가 될 수 있다
