中国黑客：自2021年以来攻击利用已知漏洞

据称,中国"盐台风"组织最近对电信公司及其中的国家发动的袭击将是巴西"南澳让全世界处于戒备状态"。新闻谈到了入侵的复杂程度,更令人震惊的是,从理论上讲,犯罪分子仍然在这些公司的网络内。.

2021年,有关该组织的第一批信息出现,当时微软的威胁情报团队发布了有关中国如何成功渗透到几家互联网服务提供商以监视公司和捕获数据的信息,该组织实施的第一批攻击之一是来自思科路由器的漏洞,该路由器作为监视通过这些设备发生的互联网活动的网关,一旦获得访问权限,黑客就能够将其覆盖范围扩展到其他网络,2021年10月,卡巴斯基证实,网络犯罪分子已经扩大了对越南、印度尼西亚和印度尼西亚等其他国家的攻击。. 

2021年以来已经知道第一个漏洞,那么我们仍然受到攻击的原因是什么?答案恰恰在于我们每天如何处理这些漏洞。.

违规方法

现在,最近几天,政府信息证实了一系列针对公司和国家的攻击--这些攻击是由于 VPN 应用程序、制造商 Ivanti、Fortinet Forticlient EMS 中的已知漏洞发生的,该应用程序用于监控服务器、防火墙 Sophos 以及 Microsoft Exchange 服务器。. 

2021年披露了微软的漏洞,此后不久,该公司发布了修复程序。防火墙中的缺陷Sophos于2022年发布,并于2023年9月纠正。在Forticlient中发现的问题于2023年公开,并于2024年3月纠正。以及伊万蒂的问题,后者也在2023年注册了CVE(常见漏洞和暴露)。然而,该公司去年10月才纠正了该漏洞。. 

所有这些漏洞都允许犯罪分子使用合法凭据和软件轻松渗透受攻击的网络,这使得检测这些入侵几乎是不可能的。从那里,犯罪分子在这些网络内横向移动,部署恶意软件,这有助于长期的间谍工作。. 

最近的攻击令人震惊的是,Salt Typhoon 群组黑客使用的方法与之前归因于中国国家特工的活动中观察到的长期策略一致。这些方法包括使用合法凭据将恶意活动掩盖为例行操作,这使得传统安全系统难以识别。对广泛使用的软件(例如 VPN 和防火墙)的关注表明了对企业和政府环境中漏洞的深入了解。.

的脆弱性问题

利用的漏洞还揭示了一种令人担忧的模式:应用补丁和更新的延迟。尽管制造商提供了修复程序,但许多公司的运营现实使得很难立即实施这些解决方案。兼容性测试、避免关键任务系统受到干扰的需要,以及在某些情况下,对故障严重性的缺乏认识导致了暴露窗口的增加。.

这个问题不仅是技术问题,而且是组织和战略问题,涉及流程、优先事项,通常还涉及企业文化。.

一个关键的方面是,与运营连续性相比,许多公司将补丁执行视为一项“次要”任务。这造成了所谓的停机困境,领导者需要在升级系统的瞬时服务中断和未来利用的潜在风险之间做出决定。然而,最近的攻击表明,无论是在财务上还是在声誉上,延迟这些更新都可能要昂贵得多。.

此外,兼容性测试是一个常见的瓶颈。许多企业环境,尤其是电信等行业,都采用传统技术和现代技术的复杂组合来运行。这使得每次更新都需要付出相当大的努力,以确保补丁不会在依赖系统中造成问题。这种类型的护理是可以理解的,但可以通过采用更强大的测试环境和自动验证流程等实践来缓解。.

补丁应用延迟的另一点是,对故障严重程度缺乏认识,IT 团队常常低估特定 CVE 的重要性,尤其是在迄今为止尚未广泛探索的情况下,问题在于攻击者的机会之窗可以在组织意识到问题的严重性之前打开,这是一个威胁情报和技术供应商和公司之间清晰沟通可以发挥全部作用的领域。.

最后,公司需要采取更加主动和优先的漏洞管理方法,其中包括自动修补流程、细分网络、限制可能入侵的影响、定期模拟可能攻击的例行公事,这有助于找到潜在的“弱点”。. 

补丁和更新延迟的问题不仅是一个技术挑战,也是组织转变安全方法的机会,使其更加敏捷、适应性和弹性。最重要的是,这种操作模式并不新鲜,并且还用它进行了数百次其他攻击 作案手法, 从用作网关的漏洞中。利用这一教训可以是作为受害者或为下一次攻击做好准备之间的区别。.