عرض خصم التراخيص المتعددة
أمن الكمبيوتر قراصنة مدعومون من الصين وراء اختراق وزارة الخزانة...

قراصنة مدعومون من الصين وراء اختراق وزارة الخزانة الأميركية يستهدفون الآن سلاسل توريد تكنولوجيا المعلومات العالمية

بواسطة Mura في أمن الكمبيوتر
ترجمة الى:
العربية

لقد بدأ فصل جديد خطير في حملات التجسس الإلكتروني الجارية التي تنفذها مجموعة سيلك تايفون، وهي مجموعة قرصنة تدعمها الحكومة الصينية وارتبطت مؤخرًا باختراق وزارة الخزانة الأمريكية. وقد أصدر فريق استخبارات التهديدات التابع لشركة مايكروسوفت تحذيرًا صارخًا، يكشف عن أن سيلك تايفون تستغل الآن بنشاط سلسلة التوريد العالمية لتكنولوجيا المعلومات للتسلل إلى الشركات وإجراء المراقبة وسرقة البيانات الحساسة.

ويمثل هذا النشاط الأخير تحولاً مثيراً للقلق في تكتيكات مجموعة سيلك تايفون. فبدلاً من مهاجمة منصات الحوسبة السحابية المحمية بشكل جيد، تحول المجموعة انتباهها إلى مقدمي خدمات تكنولوجيا المعلومات وشركات المراقبة والإدارة عن بعد ومقدمي الخدمات المدارة (MSPs) - وهي الشركات المسؤولة عن تأمين وصيانة شبكات الشركات في جميع أنحاء العالم.

كيف يتسلل فيروس Silk Typhoon عبر سلسلة توريد تكنولوجيا المعلومات

كشف باحثو مايكروسوفت أن Silk Typhoon يستخدم مفاتيح API مسروقة وبيانات اعتماد مخترقة ووصولاً متميزًا لاختراق شركات تكنولوجيا المعلومات بصمت. وبمجرد دخوله، يمكن للمهاجمين توسيع نطاق وصولهم إلى بيئات العملاء في اتجاه مجرى النهر، مما يعرض عدد لا يحصى من المنظمات للخطر.

إن هذه الهجمات ليست مجرد هجمات انتهازية . حيث أظهر Silk Typhoon فهمًا عالي المستوى للبيئات الهجينة، حيث تمكن بمهارة من التنقل بين البنية الأساسية المحلية والخدمات السحابية. وقد لاحظت Microsoft أن المجموعة تستغل أدوات مشروعة مثل Entra Connect (المعروفة سابقًا باسم AADConnect) لتصعيد الامتيازات والحفاظ على الوصول طويل الأمد.

من خلال نقاط الدخول هذه، تقوم شركة Silk Typhoon بما يلي:

  • استطلاع واسع النطاق لرسم خريطة للأنظمة الداخلية
  • الحركة الجانبية عبر الشبكات
  • استخراج البيانات من رسائل البريد الإلكتروني ومشاركات الملفات والتخزين السحابي
  • الوصول المستمر باستخدام غلافات الويب وتطبيقات OAuth

لا أحد آمن بدون دفاعات قوية

تحذر شركة مايكروسوفت من أن حتى المؤسسات التي لا تشكل أهدافًا مباشرة قد تصبح عرضة لأضرار جانبية من خلال مزودي خدمات تكنولوجيا المعلومات لديها. إذا كانت شركتك تعتمد على خدمات تكنولوجيا المعلومات المشتركة، أو إدارة بيانات اعتماد ضعيفة، أو برامج قديمة، فقد تكون معرضًا للخطر بالفعل.

تاريخيًا، نجحت مجموعة Silk Typhoon في اختراق مجموعة واسعة من المنتجات، بما في ذلك خوادم Microsoft Exchange وأجهزة VPN وجدران الحماية. كانت المجموعة وراء اختراق وزارة الخزانة الأمريكية، حيث تجسست على المكاتب التي تتعامل مع الاستثمارات الأجنبية والعقوبات، مستغلة نقاط الضعف في برامج مثل BeyondTrust وPostgreSQL.

التكتيكات المتقدمة التي يستخدمها Silk Typhoon

تسلط الحملات الأخيرة التي أطلقتها شركة Silk Typhoon الضوء على تطورها المتزايد. ووفقًا لمايكروسوفت، فقد لوحظ استخدام المجموعة لما يلي:

  • هجمات رش كلمات المرور والاستطلاع للكشف عن كلمات المرور المعاد استخدامها للشركات الموجودة في مستودعات عامة مثل GitHub
  • تطبيقات OAuth المخترقة ذات الأذونات عالية المستوى لسرقة رسائل البريد الإلكتروني وملفات OneDrive وبيانات SharePoint عبر MSGraph
  • تتيح تطبيقات المستأجرين المتعددين إمكانية التنقل عبر بيئات السحابة والوصول إلى الموارد الحساسة في مؤسسات مختلفة
  • إساءة استخدام واجهة برمجة تطبيقات Exchange Web Services (EWS) لاستخراج رسائل البريد الإلكتروني

وما يجعل هذه الهجمات خطيرة بشكل خاص هو قدرة Silk Typhoon على اختطاف التطبيقات التي حصلت بالفعل على موافقة المستخدم، مما يجعل نشاطها الخبيث يمتزج بالعمليات العادية.

التهديد المتزايد الذي يشكله إعصار الحرير

تصف شركة مايكروسوفت مجموعة Silk Typhoon بأنها واحدة من أكثر مجموعات التهديدات الصينية انتشارًا في العالم. وبفضل الدعم القوي والموارد اللازمة لاستغلال نقاط الضعف التي لا يمكن اختراقها بسرعة، فإنها تشكل تهديدًا كبيرًا عبر القطاعات، بما في ذلك الحكومات المحلية والولائية والمؤسسات المالية ومقدمي خدمات تكنولوجيا المعلومات.

كيفية حماية مؤسستك

وفي ضوء هذه التطورات، تحث مايكروسوفت المؤسسات على:

  • تدقيق مفاتيح API وتطبيقات OAuth للتأكد من عدم وجود وصول مشبوه أو مفرط الامتيازات
  • فرض إجراءات صارمة فيما يتعلق بنظافة بيانات الاعتماد، بما في ذلك تغييرات كلمة المرور بشكل منتظم والمصادقة متعددة العوامل (MFA)
  • قم بتصحيح كافة الأنظمة على الفور، وخاصة البرامج التي تستهدفها عادةً التهديدات المستمرة المتقدمة (APTs)
  • مراقبة أنماط الوصول غير المعتادة، وخاصة تلك التي تتعلق بحسابات الخدمة وتطبيقات السحابة

    • إن استهداف سلاسل التوريد الخاصة بتكنولوجيا المعلومات يثبت أن التجسس الإلكتروني لم يعد يشكل خطراً يهدد الكيانات الحكومية البارزة فحسب. فاليوم، يتعين على كل منظمة تعتمد على البنية الأساسية المشتركة أو مقدمي الخدمات من جهات خارجية أن تتعامل مع نفسها باعتبارها هدفاً محتملاً.

    لم يعد اليقظة في مجال الأمن السيبراني أمرًا اختياريًا، بل هو الدفاع الوحيد ضد الخصوم مثل Silk Typhoon الذين يكونون دائمًا على بعد خطوة واحدة من بياناتك الأكثر حساسية.

    جار التحميل...