De recente aanvallen die naar verluidt door de Chinese groep Salt Typhoon zijn uitgevoerd op telecommunicatiebedrijven en landen – waaronder Brazilië – hebben de hele wereld in alarm gebracht. Nieuwsberichten spreken over het niveau van verfijning van de inbraken en, wat nog alarmwekkender is, de criminelen zouden theoretisch nog steeds binnen de netwerken van deze bedrijven zijn.
De eerste informatie over deze groep kwam in 2021, toen het Threat Intelligence-team van Microsoft informatie vrijgaf over hoe China met succes was geïnfiltreerd in verschillende internetserviceproviders om bedrijven te bespioneren en gegevens te verzamelen. Een van de eerste aanvallen uitgevoerd door de groep was gebaseerd op een inbreuk op Cisco-routers, die dienst deden als een gateway om internetactiviteiten die via deze apparaten plaatsvonden te monitoren. Zodra de toegang was verkregen, konden de hackers hun bereik uitbreiden naar aanvullende netwerken. In oktober 2021 bevestigde Kaspersky dat cybercriminelen de aanvallen al hadden uitgebreid naar andere landen zoals Vietnam, Indonesië, Thailand, Maleisië, Egypte, Ethiopië en Afghanistan.
Als de eerste kwetsbaarheden al sinds 2021 bekend waren – waarom zijn we dan nog steeds aangevallen? Het antwoord ligt precies in hoe we omgaan met deze kwetsbaarheden in ons dagelijks leven.
Methode van overtreding
Nu, in de afgelopen dagen, bevestigden gegevens van de Amerikaanse overheid een reeks aanvallen op "bedrijven en landen" - die zouden hebben plaatsgevonden door bekende kwetsbaarheden in een VPN-applicatie van de fabrikant Ivanti, in Fortinet Forticlient EMS, gebruikt voor het monitoren van servers, in Sophos-firewalls en ook in Microsoft Exchange-servers.
De kwetsbaarheid van Microsoft werd in 2021 bekendgemaakt toen het bedrijf kort daarna de patches uitbracht. De fout in de Sophos-firewalls werd gepubliceerd in 2022 – en gecorrigeerd in september 2023. De problemen gevonden in Forticlient werden in 2023 openbaar gemaakt en in maart 2024 opgelost, evenals die van Ivanti, waarvan de CVE's (Common Vulnerabilities and Exposures) ook in 2023 werden geregistreerd. Het bedrijf heeft de kwetsbaarheid echter pas in oktober vorig jaar verholpen.
Al deze kwetsbaarheden maakten het voor criminelen gemakkelijk om de aangevallen netwerken binnen te dringen, gebruikmakend van legitieme inloggegevens en software, waardoor het bijna onmogelijk is om deze inbraken te detecteren. Vanaf dat moment bewogen de criminelen zich zijwaarts binnen deze netwerken, door malware te installeren die hielp bij langdurige spionageactiviteiten.
Wat verontrustend aan de recente aanvallen is dat de methoden die door de hackers van de groep Salt Typhoon worden gebruikt, consistent zijn met de langetermijnstrategieën die zijn waargenomen in eerdere campagnes die worden toegeschreven aan Chinese staatsactoren. Deze methoden omvatten het gebruik van legitieme referenties om kwaadaardige activiteiten te maskeren als routinematige operaties, waardoor het moeilijk wordt voor conventionele beveiligingssystemen om ze te identificeren. De focus op veelgebruikte software, zoals VPN's en firewalls, toont een diepgaande kennis van kwetsbaarheden in bedrijfs- en overheidsomgevingen.
Het probleem van de kwetsbaarheden
De geëxploiteerde kwetsbaarheden onthullen ook een zorgwekkend patroon: vertragingen bij het toepassen van patches en updates. Ondanks de correcties die door de fabrikanten worden aangeboden, bemoeilijkt de operationele realiteit van veel bedrijven de onmiddellijke implementatie van deze oplossingen. Compatibiliteitstests, de noodzaak om onderbrekingen in kritieke systemen te voorkomen en, in sommige gevallen, het gebrek aan bewustzijn over de ernst van de fouten dragen bij aan de toename van de blootstellingsperiode.
Deze kwestie is niet alleen technisch, maar ook organisatorisch en strategisch, met betrekking tot processen, prioriteiten en vaak bedrijfscultuur.
Een kritisch aspect is dat veel bedrijven het toepassen van patches beschouwen als een "secundaire" taak in vergelijking met de operationele continuïteit. Dit creëert het zogenaamde downtime-dilemma, waarbij leiders moeten beslissen tussen een tijdelijke onderbreking van diensten om systemen bij te werken en het potentiële risico van toekomstige exploitatie. No entanto, os ataques recentes mostram que adiar essas atualizações pode sair muito mais caro, tanto em termos financeiros quanto reputacionais.
Bovendien zijn compatibiliteitstests een veelvoorkomend knelpunt. Veel bedrijfsomgevingen, vooral in sectoren zoals telecommunicatie, werken met een complexe combinatie van verouderde en moderne technologieën. Dit zorgt ervoor dat elke update een aanzienlijke inspanning vergt om te garanderen dat de patch geen problemen veroorzaakt in afhankelijke systemen. Dit soort zorg is begrijpelijk, maar kan worden verminderd door het gebruik van praktijken zoals robuustere testomgevingen en geautomatiseerde validatieprocessen.
Een ander punt dat bijdraagt aan de vertraging bij het toepassen van patches is het gebrek aan bewustzijn over de ernst van de kwetsbaarheden. Vaak onderschatten IT-teams het belang van een specifieke CVE, vooral wanneer deze tot nu toe niet breed is geëxploiteerd. Het probleem is dat de venster van kansen voor aanvallers zich kan openen voordat organisaties de ernst van het probleem beseffen. Dit is een veld waar threat intelligence en duidelijke communicatie tussen technologieleveranciers en bedrijven het verschil kunnen maken.
Tot slot moeten bedrijven een meer proactieve en geprioriteerde aanpak hanteren voor kwetsbaarheidsbeheer, waaronder het automatiseren van patchprocessen, het segmenteren van netwerken om de impact van mogelijke inbraken te beperken, het regelmatig simuleren van mogelijke aanvallen, wat helpt om potentiële "zwakke punten" te identificeren.
De kwestie van vertragingen bij patches en updates is niet alleen een technische uitdaging, maar ook een kans voor organisaties om hun beveiligingsaanpak te transformeren, waardoor deze flexibeler, aanpasbaar en veerkrachtiger wordt. Above all, deze manier van opereren is niet nieuw, en honderden andere aanvallen worden op dezelfde manier uitgevoerd.manier van werken,van kwetsbaarheden die worden gebruikt als toegangspoort. Het benutten van deze les kan het verschil maken tussen slachtoffer zijn of voorbereid zijn op de volgende aanval.
