Nedavni napadi, ki naj bi jih kitajska skupina Salt Typhoon izvedla na telekomunikacijska podjetja in države med njimi, bi bili Brazilija 'SA je pustila ves svet v pripravljenosti. Novice govorijo o stopnji prefinjenosti invazij in, kar je bolj zaskrbljujoče 'kriminalci bi teoretično še vedno bili v omrežjih teh podjetij.
Prve informacije o tej skupini so prišle leta 2021, ko je Microsoftova ekipa za obveščanje o grožnjah objavila informacije o tem, kako se je Kitajska uspešno infiltrirala v več ponudnikov internetnih storitev, da bi nadzorovala podjetja in zajemala podatke.Eden prvih napadov, ki jih je izvedla skupina, je bil iz vdora v usmerjevalnike Cisco, ki so služili kot prehod za spremljanje internetnih dejavnosti, ki se dogajajo prek teh naprav.Ko je bil dostop pridobljen, so hekerji lahko razširili svoj doseg na dodatna omrežja. Oktobra 2021 je Kaspersky potrdil, da so kibernetski kriminalci že razširili napade na druge države, kot so Vietnam, Indonezija in Indonezija.
Če so bile prve ranljivosti znane že po letu 2021, JE ZAKAJ smo bili še vedno napadeni? Odgovor je ravno v tem, kako se s temi ranljivostmi vsakodnevno spopadamo.
Metoda kršitve
Zdaj, v zadnjih dneh, vladne informacije so potrdili vrsto napadov na podjetja in države do-da se je zgodilo iz znanih ranljivosti v VPN aplikacijo, proizvajalec Ivanti, Fortinet Forticlient EMS, ki se uporablja za spremljanje strežnikov, požarnih zidov Sophos in tudi Microsoft Exchange strežniki.
Microsoftova ranljivost je bila razkrita leta 2021, ko je kmalu zatem podjetje objavilo popravke. Napaka v požarnih zidovih Sophos je bila objavljena leta 2022 in popravljena septembra 2023. Težave, odkrite v Forticlient, so postale javne leta 2023 in popravljene marca 2024, pa tudi težave Ivantija, ki je prav tako imel svoje CVE (skupne ranljivosti in izpostavljenosti) registrirane leta 2023. Podjetje pa je ranljivost popravilo šele oktobra lani.
Vse te ranljivosti so kriminalcem omogočile, da so se zlahka infiltrirali v napadena omrežja z uporabo zakonitih poverilnic in programske opreme, zaradi česar je odkrivanje teh vdorov skoraj nemogoče. Od tam so se kriminalci premikali bočno znotraj teh omrežij in uvajali zlonamerno programsko opremo, kar je pomagalo pri dolgoročnem vohunskem delu.
Kar je zaskrbljujoče pri nedavnih napadih, je, da so metode, ki so jih uporabljali hekerji skupine Salt Typhoon, skladne z dolgoročnimi taktikami, opaženimi v prejšnjih kampanjah, pripisanih kitajskim državnim agentom. Te metode vključujejo uporabo zakonitih poverilnic za prikrivanje zlonamernih dejavnosti kot rutinskih operacij, zaradi česar je težko prepoznati s konvencionalnimi varnostnimi sistemi. Osredotočenost na široko uporabljeno programsko opremo, kot so VPN-ji in požarni zidovi, dokazuje poglobljeno poznavanje ranljivosti v podjetniških in vladnih okoljih.
Problem ranljivosti
Izkoriščene ranljivosti razkrivajo tudi zaskrbljujoč vzorec: zamude pri uporabi popravkov in posodobitev. Kljub popravkom, ki so jih dali na voljo proizvajalci, operativna realnost številnih podjetij otežuje takojšnjo implementacijo teh rešitev. Testiranje združljivosti, potreba po izogibanju motnjam v kritičnih sistemih in v nekaterih primerih pomanjkanje zavedanja o resnosti napak prispeva k povečanemu oknu izpostavljenosti.
To vprašanje ni samo tehnično, ampak tudi organizacijsko in strateško, vključuje procese, prednostne naloge in pogosto korporativno kulturo.
Kritični vidik je, da številna podjetja uveljavljanje popravkov obravnavajo kot “sekundarno-diskur nalogo v primerjavi z neprekinjeno operacijo. To ustvarja tako imenovano dilemo izpadov, kjer se morajo vodje odločiti med trenutnimi motnjami storitev za nadgradnjo sistemov in morebitnim tveganjem prihodnjega izkoriščanja. Vendar nedavni napadi kažejo, da je lahko odlašanje s temi posodobitvami veliko dražje, tako finančno kot ugledno.
Poleg tega je testiranje združljivosti pogosto ozko grlo. Številna podjetniška okolja, zlasti v panogah, kot so telekomunikacije, delujejo s kompleksno kombinacijo podedovanih in sodobnih tehnologij. Zaradi tega je za vsako posodobitev potrebno precej truda, da se zagotovi, da popravek ne povzroča težav v odvisnih sistemih. Ta vrsta oskrbe je razumljiva, vendar jo je mogoče ublažiti s sprejetjem praks, kot so robustnejša testna okolja in avtomatizirani postopki preverjanja.
Druga točka, ki prispeva k zamudi pri uporabi popravkov, je pomanjkanje zavedanja o resnosti napak.Pogosto IT ekipe podcenjujejo pomen določenega CVE, še posebej, če do danes ni bil široko raziskan. Težava je v tem, da se lahko okno priložnosti za napadalce odpre, preden organizacije spoznajo resnost problema.To je področje, kjer lahko obveščanje o grožnjah in jasna komunikacija med prodajalci tehnologije in podjetji naredita vse razlike.
Nazadnje morajo podjetja sprejeti bolj proaktiven in prednostni pristop k upravljanju ranljivosti, ki vključuje avtomatizacijo procesov popravkov, segmentiranje omrežij, omejevanje vpliva možnih vdorov, rutino rednega simuliranja možnih napadov, kar pomaga najti potencialne “šibke točke й.
Vprašanje zamud pri popravkih in posodobitvah ni le tehnični izziv, temveč tudi priložnost za organizacije, da preoblikujejo svoj varnostni pristop, zaradi česar je bolj agilen, prilagodljiv in odporen.Predvsem ta način delovanja ni nov, z njim pa se izvaja na stotine drugih napadov modus operandi, od ranljivosti, ki se uporabljajo kot prehod. Izkoriščanje te lekcije je lahko razlika med žrtvijo ali pripravljenostjo na naslednji napad.
