De nylige angrepene som angivelig ble utført av den kinesiske gruppen Salt Typhoon mot telekommunikasjonsselskaper og land – blant annet Brasil – har satt hele verden i alarmberedskap. Nyhetene snakker om nivået av sofistikasjon i innbruddene, og det mest alarmerende er at kriminalitetene teoretisk sett fortsatt skal være innenfor disse selskapenes nettverk.
De første oplysninger om denne gruppe opstod i 2021, da Microsofts Threat Intelligence-team offentliggjorde oplysninger om, hvordan Kina med succes havde infiltreret flere internetudbydere for at overvåge virksomheder og indsamle data. En av de første angrepene utført av gruppen var basert på et brudd i Cisco-rutere, som fungerte som en gateway for å overvåke internettaktiviteter som skjedde gjennom disse enhetene. Når de hadde fått tilgang, klarte hackerne å utvide rekkevidden til flere nettverk. I oktober 2021 bekreftet Kaspersky at cyberkriminelle allerede hadde utvidet angrepene til andre land som Vietnam, Indonesia, Thailand, Malaysia, Egypt, Etiopia og Afghanistan.
Hvis de første sårbarhetene allerede var kjent siden 2021 – hvorfor ble vi fortsatt angrepet? Svaret ligger nettopp i hvordan vi håndterer disse sårbarhetene i hverdagen.
Bruddmetode
Nylig har opplysninger fra den amerikanske regjeringen bekreftet en rekke angrep på "bedrifter og land" – som skal ha skjedd på grunn av kjente sårbarheter i en VPN-applikasjon fra produsenten Ivanti, i Fortinet Forticlient EMS, brukt til overvåkning av servere, i Sophos-brannmurer og også i Microsoft Exchange-servere.
Microsofts sårbarhet ble offentliggjort i 2021 da, og kort tid etter, publiserte selskapet oppdateringene. Feilen i Sophos-brannmurene ble publisert i 2022 – og ble rettet i september 2023. Problemer funnet i Forticlient ble offentliggjort i 2023, og ble løst i mars 2024 – samt de fra Ivanti, som også hadde sine CVE-er (Common Vulnerabilities and Exposures) registrert i 2023. Selskapet rettet imidlertid bare sårbarheten i oktober i fjor.
Alle disse sårbarhetene gjorde det mulig for kriminelle å infiltrere de angrepne nettverkene enkelt, ved å bruke legitime legitimasjoner og programvare, noe som gjør det nesten umulig å oppdage disse inntrengningene. Fra kriminalene beveget seg sidelengs innenfor disse nettverkene, og installerte skadelig programvare som hjalp med langvarig spionasje.
Det som er alarmerende med de siste angrepene er at metodene som brukes av hackerne i Salt Typhoon-gruppen er i samsvar med de langsiktige taktikkene som er observert i tidligere kampanjer tilskrevet kinesiske statlige aktører. Disse metodene inkluderer bruk av legitime legitimasjoner for å maskere ondsinnede aktiviteter som rutinemessige operasjoner, noe som gjør det vanskeligere for tradisjonelle sikkerhetssystemer å oppdage dem. Fokuset på bredt brukte programvarer, som VPN-er og brannmurer, viser en dyp forståelse av sårbarheter i bedrifts- og myndighetsmiljøer.
Problemet med sårbarheter
De sårbarhetene som er utnyttet, avslører også et bekymringsfullt mønster: forsinkelser i implementeringen av patches og oppdateringer. Til tross for korrigeringene som er gjort tilgjengelig av produsentene, gjør den operative virkeligheten for mange selskaper det vanskelig å implementere disse løsningene umiddelbart. Kompatibilitetstester, behovet for å unngå avbrudd i kritiske systemer og, i noen tilfeller, mangel på bevissthet om alvorligheten av feil bidrar til økningen i eksponeringstiden.
Denne saken er ikke bare teknisk, men også organisatorisk og strategisk, og involverer prosesser, prioriteringer og ofte bedriftskultur.
Et et kritisk aspekt at mange bedrifter behandler patch-implementering som en "sekundær" oppgave sammenlignet med driftskontinuitet. Dette skaper det såkalte nedetid-dilemmaet, hvor lederne må velge mellom midlertidig tjenesteavbrudd for å oppdatere systemer og den potensielle risikoen for fremtidig utnyttelse. Imidlertid viser de siste angrepene at å utsette disse oppdateringene kan bli mye dyrere, både økonomisk og omdømmemessig.
I tillegg er kompatibilitetstesting en vanlig flaskehals. Mange bedriftsmiljøer, spesielt innen telekommunikasjon, opererer med en kompleks kombinasjon av eldre og moderne teknologier. Dette gjør at hver oppdatering krever en betydelig innsats for å sikre at patchen ikke forårsaker problemer i avhengige systemer. Denne typen omsorg er forståelig, men kan reduseres ved å adoptere praksiser som mer robuste testmiljøer og automatiserte valideringsprosesser.
Et annet punkt som bidrar til forsinkelsen i å implementere oppdateringer er mangel på bevissthet om alvorligheten av feilene. Ofte undervurderer IT-teamene viktigheten av en spesifikk CVE, spesielt når den ikke har vært mye utnyttet ennå. Problemet er at muligheten for angripere kan åpne seg før organisasjonene innser alvoret i problemet. Dette er et område hvor trusselintelligens og klar kommunikasjon mellom teknologileverandører og selskaper kan utgjøre hele forskjellen.
Til slutt må selskapene ta i bruk en mer proaktiv og prioritert tilnærming til sårbarhetsstyring, som inkluderer automatisering av patching-prosesser, nettverkssegmentering for å begrense virkningen av mulige innbrudd, regelmessig simulering av potensielle angrep, noe som hjelper med å finne de potensielle "svake punktene".
Spørsmålet om forsinkelser i patcher og oppdateringer er ikke bare en teknisk utfordring, men også en mulighet for organisasjoner til å transformere sin sikkerhetsstrategi, gjøre den mer smidig, tilpasningsdyktig og motstandsdyktig. Fremdeles er dette ikke en ny driftsmåte, og hundrevis av andre angrep blir utført med det sammemåte å operere påfra svakheter som brukes som inngangsport. Å utnytte denne leksjonen kan være det som skiller mellom å være et offer eller å være forberedt på neste angrep.
