De senaste attackerna som påstås ha utförts av den kinesiska gruppen Salt Typhoon mot telekommunikationsföretag och länder bland dem skulle vara Brasilien "SA lämnade hela världen i beredskap. Nyheter talar om graden av sofistikering av invasionerna och, vad som är mer alarmerande", brottslingarna skulle teoretiskt sett fortfarande vara inom dessa företags nätverk.
Den första informationen om denna grupp kom 2021, när Microsofts Threat Intelligence-team släppte information om hur Kina framgångsrikt hade infiltrerat flera internetleverantörer för att övervaka företag och fånga data. En av de första attackerna som gruppen utförde var från ett intrång i Cisco-routrar, som fungerade som en gateway för att övervaka internetaktiviteter som inträffade via dessa enheter. När åtkomst erhölls kunde hackare utöka sin räckvidd till ytterligare nätverk. I oktober 2021 bekräftade Kaspersky att cyberbrottslingar redan hade utökat attackerna mot andra länder som Vietnam, Thailand och Indonesien.
Om de första sårbarheterna redan var kända sedan 2021 ÄR DET DÄRFÖR vi fortfarande attackerades?Svaret ligger just i hur vi hanterar dessa sårbarheter dagligen.
Verträdelsemetod
Nu, under de senaste dagarna, har statlig information bekräftat en rad attacker mot företag och länder” - som hände från kända sårbarheter i en VPN-applikation, tillverkaren Ivanti, Fortinet Forticlient EMS, används för att övervaka servrar, brandväggar Sophos och även Microsoft Exchange-servrar.
Microsofts sårbarhet avslöjades 2021 när företaget kort därefter publicerade korrigeringarna. Bristen i brandväggarna Sophos publicerades 2022 och korrigerades i september 2023. Problemen som hittades i Forticlient blev offentliga 2023 och korrigerades i mars 2024 samt de av Ivanti, som också hade sina CVE:er (Common Vulnerabilities and Exposures) registrerade 2023. Företaget åtgärdade dock sårbarheten först i oktober förra året.
Alla dessa sårbarheter gjorde det möjligt för brottslingar att enkelt infiltrera de attackerade nätverken, med hjälp av legitima referenser och programvara, vilket gör det nästan omöjligt att upptäcka dessa intrång. Därifrån flyttade brottslingarna i sidled inom dessa nätverk och distribuerade skadlig programvara, vilket hjälpte till i det långsiktiga spionagearbetet.
Det som är alarmerande med de senaste attackerna är att metoderna som används av Salt Typhoon-grupphackare överensstämmer med den långsiktiga taktik som observerats i tidigare kampanjer som tillskrivs kinesiska statliga agenter. Dessa metoder inkluderar användningen av legitima referenser för att maskera skadliga aktiviteter som rutinoperationer, vilket gör det svårt att identifiera med konventionella säkerhetssystem. Fokus på allmänt använd programvara som VPN och brandväggar visar en djupgående kunskap om sårbarheter i företags- och myndighetsmiljöer.
Sårbarhetsproblemet
De sårbarheter som utnyttjas avslöjar också ett oroande mönster: förseningar i tillämpningen av patchar och uppdateringar Trots de korrigeringar som gjorts tillgängliga av tillverkarna gör den operativa verkligheten hos många företag det svårt att omedelbart implementera dessa lösningar. Kompatibilitetstestning, behovet av att undvika störningar i verksamhetskritiska system, och i vissa fall bidrar bristen på medvetenhet om hur allvarliga felen är till det ökade exponeringsfönstret.
Denna fråga är inte bara teknisk, utan också organisatorisk och strategisk, och involverar processer, prioriteringar och ofta företagskultur.
En kritisk aspekt är att många företag behandlar patchtillämpning som en “secondary” uppgift jämfört med driftskontinuitet.Detta skapar det så kallade dilemmat vid driftstopp, där ledare behöver bestämma sig mellan momentana serviceavbrott för att uppgradera system och den potentiella risken för framtida utnyttjande.Men, nyligen genomförda attacker visar att det kan bli mycket dyrare att försena dessa uppdateringar, både ekonomiskt och anseende.
Dessutom är kompatibilitetstestning en vanlig flaskhals. Många företagsmiljöer, särskilt inom branscher som telekommunikation, arbetar med en komplex kombination av äldre och modern teknik. Detta gör att varje uppdatering kräver avsevärda ansträngningar för att säkerställa att patchen inte orsakar problem i beroende system. Denna typ av vård är förståelig, men kan mildras genom att anta metoder som mer robusta testmiljöer och automatiserade valideringsprocesser.
En annan punkt som bidrar till förseningen i tillämpningen av patchar är bristen på medvetenhet om svårighetsgraden av misslyckanden. Ofta underskattar IT-team vikten av en specifik CVE, särskilt när den inte har utforskats i stor utsträckning hittills. Problemet är att möjlighetsfönstret för angripare kan öppnas innan organisationer inser hur allvarligt problemet är. Detta är ett område där hotintelligens och tydlig kommunikation mellan teknikleverantörer och företag kan göra stor skillnad.
Slutligen måste företag anta ett mer proaktivt och prioriterat tillvägagångssätt för sårbarhetshantering, vilket inkluderar automatisering av patchningsprocesser, segmentering av nätverk, begränsning av effekten av möjliga intrång, rutinen att regelbundet simulera möjliga attacker, vilket hjälper till att hitta potentiella “weak points”.
Frågan om förseningar av patch och uppdatering är inte bara en teknisk utmaning, utan också en möjlighet för organisationer att omvandla sin säkerhetsstrategi, vilket gör den mer smidig, anpassningsbar och motståndskraftig. Framför allt är detta driftsätt inte nytt, och hundratals andra attacker utförs med det modus operandi från sårbarheter som används som en gateway. Att utnyttja den här lektionen kan vara skillnaden mellan att vara ett offer eller att vara förberedd för nästa attack.
