自 2021 年以來,中國駭客就利用了已知的缺陷

據稱,最近中國鹽颱風組織對電信公司及其國家發動的襲擊將是巴西「南澳州讓全世界保持警惕」。新聞談到了入侵的複雜程度,更令人震驚的是,「從理論上講,犯罪分子仍然存在於這些公司的網路中」。

關於該組織的第一個資訊出現在 2021 年,當時微軟的威脅情報團隊發布了有關中國如何成功滲透多家網路服務供應商以監視公司和捕獲資料的資訊。該組織實施的首批攻擊之一是思科路由器的漏洞,該路由器是監控透過這些設備發生的網路活動的網關。一旦獲得存取權限,駭客就能夠將其覆蓋範圍擴展到其他網路。 2021年10月,卡巴斯基證實網路犯罪分子已經擴大了對越南、印尼和印尼等其他國家的攻擊。 

如果自 2021 年以來第一個漏洞已經為人所知,那我們為什麼仍然受到攻擊?答案恰恰在於我們如何每天處理這些漏洞。

違規方法

現在,最近幾天,政府資訊證實了一系列針對公司和國家的攻擊」--這些攻擊是由VPN 應用程式、製造商Ivanti、Fortinet Forticlient EMS(用於監控伺服器、防火牆Sophos 和Microsoft Exchange 伺服器)中的已知漏洞引起的。 

微軟的漏洞於 2021 年被揭露,不久之後該公司發布了修復方案。防火牆中的缺陷Sophos 於2022 年發布,並於2023 年9 月得到糾正。Forticlient 中發現的問題於2023 年公開,並於2024 年3 月得到糾正,Ivanti 的問題也於2024 年3 月得到糾正,Ivanti 的CVE(常見漏洞和暴露)也已註冊。然而,該公司直到去年 10 月才糾正了該漏洞。 

所有這些漏洞都允許犯罪分子使用合法的憑證和軟體輕鬆滲透到受攻擊的網絡,這使得檢測這些入侵幾乎不可能。從那裡開始,犯罪分子在這些網路內橫向移動,部署惡意軟體,這有助於長期的間諜工作。 

最近的攻擊令人震驚的是,鹽颱風組織駭客使用的方法與中國國家特工在先前的活動中觀察到的長期策略是一致的。這些方法包括使用合法憑證將惡意活動掩蓋為例行操作,使得傳統安全系統難以識別。對 VPN 和防火牆等廣泛使用的軟體的關注表明了對企業和政府環境中漏洞的深入了解。

漏洞問題

所利用的漏洞也揭示了一個令人擔憂的模式:應用修補程式和更新的延遲。儘管製造商提供了修復方案,但許多公司的營運現實使得很難立即實施這些解決方案。相容性測試、避免關鍵任務系統中斷的需要,以及在某些情況下,缺乏對故障嚴重性的認識導致暴露窗口增加。

這個問題不僅是技術問題,而且是組織和策略問題,涉及流程、優先事項,通常還涉及企業文化。

一個關鍵方面是,與營運連續性相比,許多公司將補丁執行視為「次要」任務。這造成了所謂的停機困境,領導者需要在升級系統的瞬時服務中斷和未來開發的潛在風險之間做出決定。然而,最近的攻擊表明,延遲這些更新在財務和聲譽方面可能會更加昂貴。

此外,相容性測試是一個常見的瓶頸。許多企業環境,特別是在電信等行業,都使用傳統技術和現代技術的複雜組合來運作。這使得每次更新都需要付出相當大的努力來確保補丁不會在依賴中引起問題。系統。這種類型的護理是可以理解的,但可以透過採用更強大的測試環境和自動驗證流程等實踐來緩解。

導致補丁應用延遲的另一點是缺乏對故障嚴重性的認識。通常,IT 團隊低估了特定 CVE 的重要性,特別是迄今為止尚未廣泛探索的情況下。問題是,在組織意識到問題的嚴重性之前,攻擊者的機會之窗就可以打開。在這個領域,威脅情報以及技術供應商和公司之間的清晰溝通可以發揮重要作用。

最後,公司需要採取更主動和優先的漏洞管理方法,其中包括自動化修補流程、分割網路、限制可能的入侵的影響、定期模擬可能的攻擊的例行程序,這有助於找到潛在的「弱點」。 

修補和更新延遲問題不僅是一個技術挑戰,也是組織改變其安全方法的機會,使其更加敏捷、適應性強和有彈性。最重要的是,這種操作模式並不新鮮,並且還用它進行了數百次其他攻擊 作案手法 來自用作網關的漏洞。利用這一教訓可能會區分受害者還是為下一次攻擊做好準備。