Chińscy hakerzy wykorzystują znane wady od 2021 roku

Niedawne ataki rzekomo przeprowadzone przez chińską grupę Salt Typhoon na firmy telekomunikacyjne i kraje, w tym Brazylię, „SA pozostawiła cały świat w pogotowiu". Wiadomości mówią o poziomie zaawansowania inwazji i, co bardziej niepokojące, „przestępcy teoretycznie nadal znajdowaliby się w sieciach tych firm".

Pierwsze informacje o tej grupie pojawiły się w 2021 roku, kiedy zespół Threat Intelligence Microsoftu opublikował informacje o tym, jak Chiny skutecznie przeniknęły do kilku dostawców usług internetowych, aby inwigilować firmy i przechwytywać dane, Jeden z pierwszych ataków przeprowadzonych przez grupę był z naruszenia w routerach Cisco, które służyło jako brama do monitorowania działań internetowych zachodzących za pośrednictwem tych urządzeń, Po uzyskaniu dostępu hakerzy mogli rozszerzyć swój zasięg na dodatkowe sieci, W październiku 2021 roku Kaspersky potwierdził, że cyberprzestępcy rozszerzyli już ataki na inne kraje, takie jak Wietnam, Indonezja i Indonezja. 

Jeśli pierwsze luki były znane już od 2021 ROKU TO DLACZEGO wciąż byliśmy atakowani? odpowiedź leży właśnie w tym, jak na co dzień radzimy sobie z tymi lukami.

Metoda naruszenia

Teraz, w ostatnich dniach, informacje rządowe potwierdziły serię ataków na firmy i kraje“ - które miały miejsce ze znanych luk w aplikacji VPN, producenta Ivanti, Fortinet Forticlient EMS, używanego do monitorowania serwerów, zapór sieciowych Sophos, a także serwerów Microsoft Exchange. 

Luka Microsoftu została ujawniona w 2021 roku, kiedy wkrótce potem firma opublikowała poprawki Wada zapór sieciowych Sophos została opublikowana w 2022 roku i poprawiona we wrześniu 2023 roku Problemy znalezione w Forticlient zostały upublicznione w 2023 roku i poprawione w marcu 2024 roku, a także problemy Ivanti, które również miały swoje CVE (wspólne luki i ekspozycje) zarejestrowane w 2023 roku Firma jednak naprawiła lukę dopiero w październiku ubiegłego roku. 

Wszystkie te luki pozwoliły przestępcom łatwo przeniknąć do zaatakowanych sieci, używając legalnych danych uwierzytelniających i oprogramowania, co sprawia, że wykrycie tych włamań jest prawie niemożliwe, Stamtąd przestępcy przemieszczali się bocznie w obrębie tych sieci, wdrażając złośliwe oprogramowanie, które pomogło w długotrwałej pracy szpiegowskiej. 

Niepokojące w ostatnich atakach jest to, że metody stosowane przez hakerów grupy Salt Typhoon są zgodne z długoterminową taktyką obserwowaną w poprzednich kampaniach przypisywanych chińskim agentom państwowym. Metody te obejmują używanie legalnych danych uwierzytelniających w celu maskowania złośliwych działań jako rutynowych operacji, co utrudnia identyfikację za pomocą konwencjonalnych systemów bezpieczeństwa. Skoncentrowanie się na szeroko używanym oprogramowaniu, takim jak VPN i zapory sieciowe, pokazuje dogłębną wiedzę na temat luk w zabezpieczeniach środowisk korporacyjnych i rządowych.

Problem podatności

Wykorzystywane luki ujawniają również niepokojący schemat: opóźnienia w stosowaniu poprawek i aktualizacji Pomimo poprawek udostępnionych przez producentów, rzeczywistość operacyjna wielu firm utrudnia natychmiastowe wdrożenie tych rozwiązań Testy zgodności, konieczność uniknięcia zakłóceń w systemach o znaczeniu krytycznym, a w niektórych przypadkach brak świadomości wagi awarii przyczyniają się do zwiększenia okna ekspozycji.

Zagadnienie to ma charakter nie tylko techniczny, ale także organizacyjny i strategiczny, obejmujący procesy, priorytety i często kulturę korporacyjną.

Krytycznym aspektem jest to, że wiele firm traktuje egzekwowanie poprawek jako zadanie “ Secondary” w porównaniu z ciągłością operacyjną. Stwarza to tak zwany dylemat przestojów, w którym liderzy muszą zdecydować między chwilowym zakłóceniem usług w celu modernizacji systemów a potencjalnym ryzykiem przyszłego wykorzystania. Jednak ostatnie ataki pokazują, że opóźnienie tych aktualizacji może być znacznie droższe, zarówno pod względem finansowym, jak i reputacyjnym.

Ponadto testowanie kompatybilności jest częstym wąskim gardłem. Wiele środowisk korporacyjnych, szczególnie w branżach takich jak telekomunikacja, działa w oparciu o złożoną kombinację starszych i nowoczesnych technologii. To sprawia, że każda aktualizacja wymaga znacznego wysiłku, aby zapewnić, że łatka nie spowoduje problemów w systemach zależnych. Ten rodzaj opieki jest zrozumiały, ale można go złagodzić poprzez przyjęcie praktyk, takich jak solidniejsze środowiska testowe i zautomatyzowane procesy walidacji.

Kolejnym punktem, który przyczynia się do opóźnienia w stosowaniu poprawek, jest brak świadomości na temat powagi awarii Często zespoły IT nie doceniają znaczenia konkretnego CVE, zwłaszcza gdy nie było ono dotychczas szeroko badane Problem polega na tym, że okno możliwości dla atakujących może się otworzyć, zanim organizacje zdadzą sobie sprawę z powagi problemu Jest to dziedzina, w której analiza zagrożeń i jasna komunikacja między dostawcami technologii a firmami mogą zrobić różnicę.

Wreszcie firmy muszą przyjąć bardziej proaktywne i priorytetowe podejście do zarządzania lukami w zabezpieczeniach, które obejmuje automatyzację procesów łatania, segmentację sieci, ograniczanie wpływu możliwych włamań, rutynę regularnej symulacji możliwych ataków, co pomaga znaleźć potencjalne “słabe punkty”. 

Kwestia opóźnień w łataniu i aktualizacji to nie tylko wyzwanie techniczne, ale także szansa dla organizacji na przekształcenie podejścia do bezpieczeństwa, dzięki czemu będzie ono bardziej zwinne, adaptowalne i odporne Przede wszystkim ten tryb działania nie jest nowy, a setki innych ataków przeprowadza się wraz z nim sposób działania, z luk, które są używane jako brama Wykorzystanie tej lekcji może być różnicą między byciem ofiarą lub przygotowaniem do następnego ataku.