Atacurile recente presupus efectuate de grupul chinez Salt Typhoon la companii de telecomunicaţii şi ţări – printre ei ar fi Brazilia – a lăsat lumea întreagă în alertă. Ştiri vorbesc de nivelul de sofisticare al intrărilor şi, ceea ce este mai alarmant – infractorii, teoretic, încă ar fi în interiorul rețelelor acestor companii
Primele informații despre acest grup au apărut în 2021, când echipa de Threat Intelligence a Microsoft a divulgat informații despre cum China ar fi infiltrat cu succes în mai mulți furnizori de servicii de internet, pentru a supraveghea întreprinderile – şi capta date. Unul dintre primele atacuri efectuate de grup a fost de la o încălcare în routere Cisco, care serveau ca un gateway pentru a monitoriza activități de internet având loc prin intermediul acestor dispozitive. Odată ce accesul era obţinut, hackerii reușeau să-și extindă atingerea la rețele suplimentare. În octombrie de 2021, Kaspersky a confirmat că cibercriminalii au extins deja atacurile la alte țări ca Vietnamul, Indonezia, Thailanda, Malaezia Egiptul, Etiopia și Afganistanul.
Dacă primele vulnerabilități erau deja cunoscute încă din 2021 – de ce încă am fost atacaţi? Răspunsul este, justament, în cum tratăm cu aceste vulnerabilități în ziua de zi
Metoda de încălcare
Acum, în ultimele zile, informaţii din guvernul american au confirmat o serie de atacuri la ⁇ companii şi ţări ⁇ – care s-ar fi întâmplat dintr-o vulnerabilități cunoscute într o aplicație de VPN, de producătorul Ivanti, în Fortinet Forticlient EMS, folosit pentru a face monitorizarea în servere, în firewall-uri Sophos și, de asemenea, în serveri Microsoft Exchange.
Vulnerabilitatea Microsoft a fost divulgată în 2021 când, imediat în secvenţă, compania a publicat corecțiile. Eșecul în firewallurile Sophos a fost publicat în 2022 – și corectată în septembrie 2023. Problemele găsite în Forticlient au devenit publice în 2023, și corectați în martie de 2024 – precum şi cele de Ivanti, care au, de asemenea, CVEs (Common Vulnerabilities and Exposures) înregistrate în 2023. Compania, între timp, doar a corectat vulnerabilitatea în octombrie trecut.
Toate aceste vulnerabilități au permis ca infractorii să infiltreze ușor în rețelele atacate, folosind credențiale și softwares legitime, ceea ce face detectarea acestor invazii aproape imposibil. De acolo înainte, criminalii s-au mișcat lateral în interiorul acestor rețele, implantând malware-uri, care au ajutat în munca de spionaj de lungă durată.
Ce este alarmant în recente atacuri este că metodele folosite de hackerii grupului Salt Typhoon sunt consecvente cu tacticile de lungă durată observate în campanii anterioare atribuite agentilor de stat chinezi. Aceste metode includ utilizarea de acreditări legitime pentru a masca activități malițioase ca operațiuni de rutină, dificultând identificarea de către sisteme de securitate convenționale. Accentul pe software-uri pe scară largă utilizate, ca VPN-uri și firewalls, demonstrează o cunoaștere aprofundată a vulnerabilităților în medii corporative și guvernamentale
Problema vulnerabilităţilor
Vulnerabilitățile exploatate dezvăluie, de asemenea, un model îngrijorător: întârzieri în aplicarea de patch-uri și actualizări. În ciuda corecţiilor puse la dispoziţie de producătorii, realitatea operațională a multor întreprinderi împiedică implementarea imediată a acestor soluții. Testele de compatibilitate, necesitatea de a evita întreruperile în sisteme critice de misiune; și, în unele cazuri, lipsa de conştientizare despre gravitatea defecţiunilor contribuie la creşterea ferestrei de expunere
Această chestiune nu este doar tehnică, dar, de asemenea, organizatorică şi strategică, implicând procese, priorităţi şi, multe ori, cultură corporativă
Un aspect critic este că multe companii tratează aplicarea de patch-uri ca o sarcină ⁇ secundară ⁇ în comparaţie cu continuitatea operaţională. Asta creează aşa-numita dilemă a downtime, unde liderii trebuie să decid între întreruperea momentană de servicii pentru a actualiza sisteme și riscul potențial al unei exploatări viitoare. Cu toate acestea, atacurile recente arată că amânarea acestor actualizări poate ajunge mult mai costisitoare, atât în termeni financiari cât și reputaționali
În plus, testele de compatibilitate sunt un blocaj comun. Multe medii corporative, îndeosebi în sectoare precum telecomunicaţii, operează cu o complexă combinație de tehnologii moștenite și moderne. Acest lucru face ca fiecare actualizare să solicite un efort considerabil pentru a asigura că patch-ul nu provoacă probleme în sisteme dependente. Acest tip de grijă este de înţeles, dar poate fi atenuat prin adoptarea de practici precum medii de testare mai robuste și procese automate de validare
Un alt punct care contribuie la întârzierea în aplicarea de patch-uri este lipsa de conştientizare despre gravitatea defecţiunilor. Adesea, echipe de IT subestimează importanța unui CVE specific, mai ales când el nu a fost larg exploatat până în momentul. Problema este că fereastra de oportunitate pentru atacatorii poate se deschide înainte ca organizațiile să își dea seama de gravitatea problemei. Acesta este un câmp unde inteligența de amenințări și comunicare clară între furnizorii de tehnologie și companiile pot face toată diferența
În cele din urmă, întreprinderile trebuie să adopte o abordare mai proactivă și prioritizată pentru gestionarea vulnerabilităților, ceea ce include automatizarea proceselor de patching, segmentarea rețelelor, limitând impactul de posibile invazii, rutina de a simula în mod regulat posibile atacuri, ceea ce ajută la găsirea potenţialelor ⁇ puncte slabe ⁇.
Problema întârzierilor în patch-uri și actualizări nu este doar o provocare tehnică, dar, de asemenea, o oportunitate pentru organizaţii să transform abordarea lor de securitate, făcându-o mai agil, adaptabil și resilient. Peste de toate, acest mod de operare nu este nou, şi sute de alte atacuri sunt efectuate cu acelaşimod de operare, de la vulnerabilități care sunt folosite ca ușă de intrare. Profitând de această lecție poate fi diferența între a fi victimă sau a fi pregătit pentru următorul atac
