De senaste attacker som påstås ha utförts av den kinesiska gruppen Salt Typhoon mot telekommunikationsföretag och länder – inklusive Brasilien – har satt hela världen i alarmberedskap. Nyheterna talar om nivån av sofistikering hos intrången och det som är mer oroande – att brottslingarna teoretiskt sett fortfarande skulle vara inne i dessa företags nätverk.
De första uppgifterna om denna grupp dök upp 2021, när Microsofts Threat Intelligence-team publicerade information om hur Kina framgångsrikt hade infiltrerat flera internetleverantörer för att övervaka företagen och fånga data. Ett av de första attackerna som gruppen genomförde var en attack mot Cisco-routrar, som fungerade som en gateway för att övervaka internetaktiviteter som skedde via dessa enheter. När de väl hade fått tillgång kunde hackarna utöka sin räckvidd till ytterligare nätverk. I oktober 2021 bekräftade Kaspersky att cyberbrottslingar redan hade utökat attackerna till andra länder som Vietnam, Indonesien, Thailand, Malaysia, Egypten, Etiopien och Afghanistan.
Om de första sårbarheterna var kända sedan 2021 – varför blev vi fortfarande attackerade? Svaret ligger just i hur vi hanterar dessa sårbarheter i vardagen.
Metod av överträdelse
Nu har de senaste dagarna bekräftat information från den amerikanska regeringen om en rad attacker mot "företag och länder" – som ska ha inträffat på grund av kända sårbarheter i en VPN-applikation från tillverkaren Ivanti, i Fortinet Forticlient EMS, som används för att övervaka servrar, i Sophos-brandväggar och även i Microsoft Exchange-servrar.
Microsofts sårbarhet offentliggjordes 2021 när företaget kort därefter släppte patcharna. Säkerhetsbristen i Sophos-brandväggarna publicerades 2022 – och åtgärdades i september 2023. De problemen som upptäcktes i Forticlient blev offentliga 2023 och åtgärdades i mars 2024 – liksom de i Ivanti, som också hade sina CVE:er (Common Vulnerabilities and Exposures) registrerade 2023. Företaget rättade dock bara sårbarheten i oktober förra året.
Alla dessa sårbarheter gjorde det möjligt för brottslingar att enkelt infiltrera de angripna nätverken med legitima kredentialer och programvara, vilket gör det nästintill omöjligt att upptäcka dessa intrång. Från och med då rörde sig brottslingarna sidledes inom dessa nätverk och installerade skadlig programvara som hjälpte till med långsiktig spionage.
Det som är oroande med de senaste attackerna är att metoderna som används av hackarna i gruppen Salt Typhoon är i linje med de långsiktiga taktiker som observerats i tidigare kampanjer som tillskrivs kinesiska statliga aktörer. Dessa metoder inkluderar användning av legitima autentiseringsuppgifter för att maskera skadlig aktivitet som vanliga operationer, vilket gör det svårare för konventionella säkerhetssystem att identifiera den. Fokus på ofta använda programvaror, som VPN:er och brandväggar, visar en djup förståelse för sårbarheter i företags- och myndighetsmiljöer.
Problemet av sårbarheter
De sårbarheter som utnyttjas avslöjar också ett oroande mönster: fördröjningar i tillämpningen av patchar och uppdateringar. Trots de korrigeringar som tillhandahålls av tillverkarna försvårar den operativa verkligheten för många företag att omedelbart implementera dessa lösningar. Testkompatibilitetstester, behovet av att undvika avbrott i kritiska system och, i vissa fall, bristen på medvetenhet om allvaret i fel bidrar till att öka exponeringsfönstret.
Den här frågan är inte bara teknisk, utan också organisatorisk och strategisk, och involverar processer, prioriteringar och ofta företagskultur.
En kritisk aspekt är att många företag behandlar patch-implementering som en "sekundär" uppgift jämfört med den operativa kontinuiteten. Detta skapar den så kallade driftstoppdilemmat, där ledare måste välja mellan tillfällig avstängning av tjänster för att uppdatera system och den potentiella risken för framtida exploatering. Men dock visar de senaste attackerna att skjuta upp dessa uppdateringar kan bli mycket dyrare, både ekonomiskt och ryktemässigt.
Dessutom är kompatibilitetstester en vanlig flaskhals. Många företagsmiljöer, särskilt inom sektorer som telekommunikation, fungerar med en komplex kombination av äldre och moderna teknologier. Detta innebär att varje uppdatering kräver en betydande insats för att säkerställa att patchen inte orsakar problem i beroende system. Denna typ av omsorg är förståelig, men kan mildras genom att anta metoder som mer robusta testmiljöer och automatiserade valideringsprocesser.
En annan faktor som bidrar till förseningen i patch-implementeringen är bristen på medvetenhet om allvaret i bristerna. Ofta underskattar IT-team vikten av ett specifikt CVE, särskilt när det inte har utnyttjats i stor utsträckning än. Problemet är att möjlighetsfönstret för angripare kan öppnas innan organisationerna inser allvaret i problemet. Detta är ett område där hotintelligens och tydlig kommunikation mellan teknikleverantörer och företag kan göra hela skillnaden.
Slutligen måste företagen anta en mer proaktiv och prioriterad strategi för sårbarhetshantering, vilket inkluderar automatisering av patchningsprocesser, nätverkssegmentering för att begränsa påverkan av eventuella intrång, regelbunden simulering av möjliga attacker för att identifiera potentiella "svaga punkter".
Frågan om försenade patchar och uppdateringar är inte bara en teknisk utmaning utan också en möjlighet för organisationer att omforma sitt säkerhetsarbete, göra det mer agilt, anpassningsbart och resilient. Framför allt är detta sätt att operera inte nytt, och hundratals andra attacker genomförs på samma sättarbetsmetodfrån sårbarheter som används som ingångsport. Att utnyttja denna lektion kan vara skillnaden mellan att vara ett offer eller vara förberedd för nästa attack.
