Atacurile recente comise de grupul chinez Salt Typhoon către companii și țări de telecomunicații – printre acestea s-ar număra și Brazilia – au lăsat întreaga lume în alertă. Știrile vorbesc despre nivelul de sofisticare al invaziilor și, ceea ce este mai alarmant – criminalii, teoretic, ar fi încă în rețelele acestor companii.
Prima informație despre acest grup a apărut în 2021, când echipa Microsoft Threat Intelligence a lansat informații despre modul în care China s-ar fi infiltrat cu succes în mai mulți furnizori de servicii de internet, pentru a monitoriza companiile – și a capta date. Unul dintre primele atacuri efectuate de grup a fost de la o încălcare a routerelor Cisco, care a servit drept poartă de intrare pentru a monitoriza activitățile pe internet care au loc prin aceste dispozitive. Odată ce accesul a fost obținut, hackerii și-au putut extinde acoperirea la rețele suplimentare. În octombrie 2021, Kaspersky a confirmat că infractorii cibernetici au extins deja atacurile asupra altor țări precum Vietnam, Indonezia, Thailanda, Malaezia, Egipt, Etiopia și Afganistan.
Dacă primele vulnerabilități erau deja cunoscute din 2021 – de ce am fost încă atacați? Răspunsul constă tocmai în modul în care facem față acestor vulnerabilități în viața de zi cu zi.
metoda încălcării
Acum, în ultimele zile, informațiile de la guvernul SUA au confirmat o serie de atacuri asupra “companiilor și țărilor” – care s-ar fi întâmplat din vulnerabilități cunoscute într-o aplicație VPN, de la producătorul Ivanti, în Fortinet FortiClient EMS, folosit pentru a monitoriza serverele, firewall-urile Sophos și, de asemenea, pe serverele Microsoft Exchange.
Vulnerabilitatea Microsoft a fost dezvăluită în 2021, când, ulterior, compania a publicat remediile. Eșecul Sophos Firewalls a fost publicat în 2022 – și corectat în septembrie 2023. Problemele întâlnite în FortiClient au devenit publice în 2023 și au fost corectate în martie 2024 – precum și cele ale Ivanti, care aveau și vulnerabilitățile și expunerile comune înregistrate în 2023. Compania, însă, a remediat vulnerabilitatea abia în octombrie anul trecut.
Toate aceste vulnerabilități au permis infractorilor să se infiltreze cu ușurință în rețelele atacate, folosind acreditări și software legitim, ceea ce face ca detectarea acestor invazii să fie aproape imposibilă. De acolo, criminalii s-au deplasat lateral în cadrul acestor rețele, implementând malware, ceea ce a ajutat în activitatea de spionaj pe termen lung.
Ceea ce este alarmant în atacurile recente este că metodele folosite de hackerii grupului de sare sunt în concordanță cu tacticile pe termen lung observate în campaniile anterioare atribuite agenților de stat chinezi. Aceste metode includ utilizarea acreditărilor legitime pentru a masca activitățile rău intenționate, cum ar fi operațiunile de rutină, ceea ce face dificilă identificarea prin sistemele de securitate convenționale. Accentul pus pe software-ul utilizat pe scară largă, cum ar fi VPN-urile și firewall-urile, demonstrează o cunoaștere aprofundată a vulnerabilităților în mediile corporative și guvernamentale.
problema vulnerabilităților
Vulnerabilitățile exploatate dezvăluie, de asemenea, un model îngrijorător: întârzieri în aplicarea corecțiilor și a actualizărilor. În ciuda corecțiilor puse la dispoziție de producători, realitatea operațională a multor companii face dificilă implementarea imediată a acestor soluții. Testele de compatibilitate, necesitatea de a evita întreruperile în sistemele critice și, în unele cazuri, lipsa de conștientizare a severității eșecurilor contribuie la creșterea ferestrei de expunere.
Această problemă nu este doar tehnică, ci și organizațională și strategică, implicând procese, priorități și, adesea, cultura corporativă.
Un aspect critic este că multe companii tratează aplicarea patch-urilor ca pe o sarcină “secundară” în comparație cu continuitatea operațională. Acest lucru creează așa-numita dilemă de nefuncționare, în care liderii trebuie să decidă între întreruperea momentului de serviciu pentru a actualiza sistemele și riscul potențial al exploatării viitoare. Cu toate acestea, atacurile recente arată că amânarea acestor actualizări poate fi mult mai costisitoare, atât din punct de vedere financiar, cât și din punct de vedere reputațional.
În plus, testele de compatibilitate sunt un blocaj comun. Multe medii corporative, în special în sectoare precum telecomunicațiile, funcționează cu o combinație complexă de tehnologii vechi și moderne. Acest lucru face ca fiecare actualizare să necesite un efort considerabil pentru a se asigura că patch-ul nu cauzează probleme sistemelor dependente. Acest tip de îngrijire este de înțeles, dar poate fi atenuat prin adoptarea unor practici precum medii de testare mai robuste și procese de validare automatizate.
Un alt punct care contribuie la întârzierea aplicării plasturilor este lipsa de conștientizare a severității eșecurilor. Adesea, echipele IT subestimează importanța unui CVE specific, mai ales atunci când acesta nu a fost explorat pe scară largă până acum. Problema este că fereastra de oportunitate pentru atacatori se poate deschide înainte ca organizațiile să realizeze gravitatea problemei. Acesta este un domeniu în care inteligența amenințărilor și comunicarea clară între furnizorii de tehnologie și companii pot face toată diferența.
În cele din urmă, companiile trebuie să adopte o abordare mai proactivă și mai prioritizată a managementului vulnerabilităților, care include automatizarea proceselor de corecție, segmentarea rețelelor, limitând impactul posibilelor invazii, rutina simulării regulate a posibilelor atacuri, ceea ce ajută la găsirea potențialelor “puncte slabe”.
Problema întârzierilor de corecție și actualizare nu este doar o provocare tehnică, ci și o oportunitate pentru organizații de a-și transforma abordarea de securitate, făcând-o mai agilă, adaptabilă și mai rezistentă. Mai presus de toate, acest mod de funcționare nu este nou și sute de alte atacuri sunt efectuate cu același lucru modus operandi, de la vulnerabilități care sunt folosite ca gateway. Profitând de această lecție poate fi diferența dintre a fi o victimă sau a fi pregătit pentru următorul atac.
