中国のハッカーは2021年以来、既知の欠陥を悪用している

中国のグループ、ソルト・タイフーンが通信会社とその中の国々に行ったとされる最近の攻撃は、ブラジル「SAは全世界を警戒させた」だろう。ニュースは侵略の巧妙さのレベルについて語っており、さらに憂慮すべきことは、理論的には犯罪者は依然としてこれらの企業のネットワーク内にいるだろう。.

このグループに関する最初の情報は、2021 年にマイクロソフトの脅威インテリジェンスチームが、中国が企業を監視し、データをキャプチャするために、いくつかのインターネットサービスプロバイダーに侵入することに成功した方法に関する情報を公開したグループによって行われた最初の攻撃の1 つは、これらのデバイスを介して発生するインターネット活動を監視するためのゲートウェイとして機能したシスコのルーターの侵害からのアクセスが得られた後、ハッカーは追加のネットワークにリーチを拡大することができました。 2021年10 月、カスペルスキーは、サイバー犯罪者がすでにベトナム、インドネシア、インドネシアなどの他の国への攻撃を拡大していることを確認しました。. 

最初の脆弱性が 2021 年以降にすでに知られていたとしたら、IS WHY we were still attacked?その答えはまさに、これらの脆弱性に日常的に対処する方法にあります。.

違反方法

さて、ここ数日、政府の情報により、企業や国に対する一連の攻撃が確認されました。これは、VPN アプリケーション、メーカー Ivanti、サーバーの監視に使用される Fortinet Forticlient EMS、ファイアウォール Sophos、および Microsoft Exchange サーバーの既知の脆弱性から発生しました。. 

Microsoft の脆弱性は 2021 年に公開され、その後すぐに同社は修正を公開しました。ファイアウォール Sophos の欠陥は 2022 年に公開され、2023 年 9 月に修正されました。Forticlient で見つかった問題は 2023 年に公開され、2024 年 3 月に修正されました。また、Ivanti の問題も修正されました。同社は、この脆弱性を修正したのは昨年 10 月でした。. 

これらの脆弱性はすべて、犯罪者が攻撃されたネットワークに簡単に侵入することを可能にし、合法的な資格情報とソフトウェアを使用するため、これらの侵入を検出することはほとんど不可能になり、そこから犯罪者はこれらのネットワーク内で横方向に移動し、マルウェアを配備し、長期的なスパイ活動を支援しました。. 

最近の攻撃で憂慮すべきことは、ソルト・タイフーンのグループハッカーが使用した手法が、中国の国家工作員による以前のキャンペーンで観察された長期的な戦術と一致していることです。これらの手法には、正当な資格情報を使用して悪意のある活動を日常的な操作として隠蔽することが含まれており、従来のセキュリティ システムでは識別が困難になっています。VPN やファイアウォールなど広く使用されているソフトウェアに焦点を当てていることは、企業や政府環境の脆弱性についての深い知識を示しています。.

脆弱性の問題

また、悪用された脆弱性は、パッチやアップデートの適用の遅れという憂慮すべきパターンも明らかにしています。メーカーによって利用可能になった修正にもかかわらず、多くの企業の運用上の現実により、これらのソリューションをすぐに実装することが困難になっています。互換性テスト、ミッションクリティカルなシステムの混乱を避ける必要性、場合によっては、障害の重大度に対する認識の欠如が、暴露の窓の増加に寄与しています。.

この問題は技術的な問題だけでなく、組織的および戦略的な問題でもあり、プロセス、優先順位、そして多くの場合企業文化が関係します。.

重要な側面は、多くの企業がパッチ適用を運用継続と比較して「二次的な」タスクとして扱っていることです。これにより、いわゆるダウンタイムのジレンマが生じます。リーダーは、システムをアップグレードするための一時的なサービスの中断と、将来の悪用の潜在的なリスクのどちらかを決定する必要があります。しかし、最近の攻撃では、これらの更新を遅らせると、財務的にも評判的にもはるかに費用がかかる可能性があることが示されています。.

さらに、互換性テストは一般的なボトルネックです 多くのエンタープライズ環境、特に電気通信などの業界では、レガシーテクノロジーと最新テクノロジーの複雑な組み合わせで動作するため、パッチが依存するシステムで問題を引き起こさないように、各更新にはかなりの労力が必要です。このタイプのケアは理解できますが、より堅牢なテスト環境や自動検証プロセスなどの慣行を採用することで軽減できます。.

パッチの適用の遅れに寄与するもう1 つの点は、障害の重大度についての認識の欠如です 多くの場合、ITチームは特定のCVEの重要性を過小評価しており、特にこれまで広く調査されていない組織の問題の重大度を認識する前に、攻撃者のための機会の窓が開く可能性があるという問題です これは、脅威インテリジェンスとテクノロジーベンダーと企業間の明確なコミュニケーションがすべての違いを生む可能性がある分野です。.

最後に、企業は脆弱性管理に対して、より積極的かつ優先順位の高いアプローチを採用する必要があります。これには、パッチ適用プロセスの自動化、ネットワークのセグメント化、侵入の可能性の影響の制限、潜在的な「弱点」を見つけるのに役立つ、起こり得る攻撃を定期的にシミュレートするルーチンなどが含まれます。. 

パッチやアップデートの遅延の問題は、技術的な課題であるだけでなく、組織がセキュリティアプローチを変革する機会でもあり、より機敏で、適応性があり、回復力があるものになっていますが、何よりもこの動作モードは新しいものではなく、他の何百もの攻撃がそれを使用して実行されます 手口, ゲートウェイとして使われる脆弱性から この教訓を活用することは 被害者であるか 次の攻撃に備えるかの 違いとなり得ます。.