Οι πρόσφατες επιθέσεις που φέρεται να πραγματοποίησε η κινεζική ομάδα Salt Typhoon εναντίον εταιρειών και χωρών τηλεπικοινωνιών -συμπεριλαμβανομένης της Βραζιλίας- έχουν θέσει σε συναγερμό ολόκληρο τον κόσμο. Τα ρεπορτάζ περιγράφουν το επίπεδο πολυπλοκότητας των εισβολών και, το πιο ανησυχητικό, οι εγκληματίες θεωρητικά εξακολουθούν να βρίσκονται εντός των δικτύων αυτών των εταιρειών.
Οι πρώτες πληροφορίες σχετικά με αυτήν την ομάδα εμφανίστηκαν το 2021, όταν η ομάδα Threat Intelligence της Microsoft δημοσίευσε πληροφορίες σχετικά με το πώς η Κίνα είχε διεισδύσει με επιτυχία σε διάφορους παρόχους υπηρεσιών διαδικτύου για να παρακολουθεί εταιρείες και να καταγράφει δεδομένα. Μία από τις πρώτες επιθέσεις της ομάδας αφορούσε παραβίαση δρομολογητών Cisco, οι οποίοι χρησίμευαν ως πύλη για την παρακολούθηση της διαδικτυακής δραστηριότητας που λάμβανε χώρα μέσω αυτών των συσκευών. Μόλις αποκτήθηκε πρόσβαση, οι χάκερ μπόρεσαν να επεκτείνουν την εμβέλειά τους σε επιπλέον δίκτυα. Τον Οκτώβριο του 2021, η Kaspersky επιβεβαίωσε ότι οι κυβερνοεγκληματίες είχαν ήδη επεκτείνει τις επιθέσεις τους σε άλλες χώρες όπως το Βιετνάμ, την Ινδονησία, την Ταϊλάνδη, τη Μαλαισία, την Αίγυπτο, την Αιθιοπία και το Αφγανιστάν.
Αν τα αρχικά τρωτά σημεία ήταν ήδη γνωστά από το 2021, γιατί μας επιτέθηκαν ξανά; Η απάντηση βρίσκεται ακριβώς στον τρόπο με τον οποίο αντιμετωπίζουμε αυτά τα τρωτά σημεία σε καθημερινή βάση.
Μέθοδος παραβίασης
Τώρα, τις τελευταίες ημέρες, πληροφορίες από την κυβέρνηση των ΗΠΑ επιβεβαίωσαν μια σειρά επιθέσεων σε «εταιρείες και χώρες» — οι οποίες φέρονται να συνέβησαν λόγω γνωστών ευπαθειών σε μια εφαρμογή VPN από τον κατασκευαστή Ivanti, στο Fortinet Forticlient EMS, που χρησιμοποιείται για την παρακολούθηση διακομιστών, σε τείχη προστασίας της Sophos, καθώς και σε διακομιστές του Microsoft Exchange.
Η ευπάθεια της Microsoft αποκαλύφθηκε το 2021 και η εταιρεία στη συνέχεια κυκλοφόρησε ενημερώσεις κώδικα (patches). Το ελάττωμα στα τείχη προστασίας της Sophos δημοσιεύτηκε το 2022 – και διορθώθηκε τον Σεπτέμβριο του 2023. Τα προβλήματα που εντοπίστηκαν στο Forticlient δημοσιοποιήθηκαν το 2023 και διορθώθηκαν τον Μάρτιο του 2024 – όπως και αυτά της Ivanti, της οποίας τα CVE (Common Vulnerabilities and Exposures) καταχωρήθηκαν επίσης το 2023. Ωστόσο, η εταιρεία διόρθωσε την ευπάθεια μόλις τον περασμένο Οκτώβριο.
Όλα αυτά τα τρωτά σημεία επέτρεπαν στους εγκληματίες να διεισδύσουν εύκολα στα δίκτυα που δέχτηκαν την επίθεση χρησιμοποιώντας νόμιμα διαπιστευτήρια και λογισμικό, καθιστώντας σχεδόν αδύνατη την ανίχνευση αυτών των εισβολών. Από εκεί, οι εγκληματίες κινούνταν πλευρικά μέσα σε αυτά τα δίκτυα, αναπτύσσοντας κακόβουλο λογισμικό που βοηθούσε σε μακροπρόθεσμο κατασκοπευτικό έργο.
Αυτό που είναι ανησυχητικό σχετικά με τις πρόσφατες επιθέσεις είναι ότι οι μέθοδοι που χρησιμοποιούνται από την ομάδα χάκερ Salt Typhoon είναι συνεπείς με μακροπρόθεσμες τακτικές που παρατηρήθηκαν σε προηγούμενες εκστρατείες που αποδίδονται σε κινέζους κρατικούς φορείς. Αυτές οι μέθοδοι περιλαμβάνουν τη χρήση νόμιμων διαπιστευτηρίων για την απόκρυψη κακόβουλων δραστηριοτήτων ως συνήθων λειτουργιών, καθιστώντας δύσκολη την αναγνώρισή τους από τα συμβατικά συστήματα ασφαλείας. Η εστίαση σε ευρέως χρησιμοποιούμενο λογισμικό, όπως VPN και τείχη προστασίας, καταδεικνύει μια βαθιά κατανόηση των τρωτών σημείων σε εταιρικά και κυβερνητικά περιβάλλοντα.
Το πρόβλημα των τρωτών σημείων
Τα τρωτά σημεία που αξιοποιούνται αποκαλύπτουν επίσης ένα ανησυχητικό μοτίβο: καθυστερήσεις στην εφαρμογή ενημερώσεων κώδικα και ενημερώσεων. Παρά τις διορθώσεις που διατίθενται από τους κατασκευαστές, η λειτουργική πραγματικότητα πολλών εταιρειών εμποδίζει την άμεση εφαρμογή αυτών των λύσεων. Οι δοκιμές συμβατότητας, η ανάγκη αποφυγής διακοπών σε κρίσιμα συστήματα και, σε ορισμένες περιπτώσεις, η έλλειψη επίγνωσης σχετικά με τη σοβαρότητα των ελαττωμάτων συμβάλλουν στην αύξηση του παραθύρου έκθεσης.
Αυτό το ζήτημα δεν είναι μόνο τεχνικό, αλλά και οργανωτικό και στρατηγικό, και περιλαμβάνει διαδικασίες, προτεραιότητες και συχνά εταιρική κουλτούρα.
Μια κρίσιμη πτυχή είναι ότι πολλές εταιρείες αντιμετωπίζουν την ενημέρωση κώδικα ως «δευτερεύουσα» εργασία σε σύγκριση με τη λειτουργική συνέχεια. Αυτό δημιουργεί το λεγόμενο δίλημμα διακοπής λειτουργίας, όπου οι ηγέτες πρέπει να αποφασίσουν μεταξύ της στιγμιαίας διακοπής των υπηρεσιών για την ενημέρωση των συστημάτων και του πιθανού κινδύνου μελλοντικής εκμετάλλευσης. Ωστόσο, πρόσφατες επιθέσεις δείχνουν ότι η αναβολή αυτών των ενημερώσεων μπορεί να είναι πολύ πιο δαπανηρή, τόσο οικονομικά όσο και από άποψη φήμης.
Επιπλέον, οι δοκιμές συμβατότητας αποτελούν ένα συνηθισμένο πρόβλημα. Πολλά εταιρικά περιβάλλοντα, ειδικά σε τομείς όπως οι τηλεπικοινωνίες, λειτουργούν με έναν πολύπλοκο συνδυασμό παλαιών και σύγχρονων τεχνολογιών. Αυτό σημαίνει ότι κάθε ενημέρωση απαιτεί σημαντική προσπάθεια για να διασφαλιστεί ότι η ενημέρωση κώδικα δεν θα προκαλέσει προβλήματα σε εξαρτώμενα συστήματα. Αυτού του είδους η ανησυχία είναι κατανοητή, αλλά μπορεί να μετριαστεί υιοθετώντας πρακτικές όπως πιο ισχυρά περιβάλλοντα δοκιμών και αυτοματοποιημένες διαδικασίες επικύρωσης.
Ένας άλλος παράγοντας που συμβάλλει στις καθυστερήσεις στην ενημέρωση κώδικα είναι η έλλειψη επίγνωσης σχετικά με τη σοβαρότητα των ευπαθειών. Συχνά, οι ομάδες IT υποτιμούν τη σημασία ενός συγκεκριμένου CVE, ειδικά όταν δεν έχει ακόμη διερευνηθεί εκτενώς. Το πρόβλημα είναι ότι το παράθυρο ευκαιρίας για τους εισβολείς μπορεί να ανοίξει πριν οι οργανισμοί συνειδητοποιήσουν τη σοβαρότητα του προβλήματος. Αυτός είναι ένας τομέας όπου η πληροφόρηση για τις απειλές και η σαφής επικοινωνία μεταξύ των προμηθευτών τεχνολογίας και των επιχειρήσεων μπορούν να κάνουν όλη τη διαφορά.
Τέλος, οι εταιρείες πρέπει να υιοθετήσουν μια πιο προληπτική και ιεραρχημένη προσέγγιση στη διαχείριση ευπαθειών, η οποία περιλαμβάνει την αυτοματοποίηση των διαδικασιών ενημέρωσης κώδικα, την τμηματοποίηση δικτύων για τον περιορισμό του αντίκτυπου πιθανών εισβολών και την τακτική προσομοίωση πιθανών επιθέσεων για τον εντοπισμό πιθανών «αδύναμων σημείων».
Το ζήτημα των καθυστερήσεων στις ενημερώσεις κώδικα και τα patches δεν αποτελεί μόνο τεχνική πρόκληση, αλλά και ευκαιρία για τους οργανισμούς να μετασχηματίσουν την προσέγγισή τους στην ασφάλεια, καθιστώντας την πιο ευέλικτη, προσαρμόσιμη και ανθεκτική. Πάνω απ 'όλα, αυτός ο τρόπος λειτουργίας δεν είναι καινούργιος και εκατοντάδες άλλες επιθέσεις πραγματοποιούνται χρησιμοποιώντας τον ίδιο τρόπο λειτουργίας, εκμεταλλευόμενες τα τρωτά σημεία ως σημεία εισόδου. Η εκμάθηση από αυτήν την εμπειρία μπορεί να κάνει τη διαφορά μεταξύ του να γίνετε θύμα και του να είστε προετοιμασμένοι για την επόμενη επίθεση.
