Оферта за отстъпка за множество лицензи
Компютърна сигурност Подкрепяни от Китай хакери зад пробива в хазната на САЩ...

Подкрепяни от Китай хакери зад пробива в хазната на САЩ сега са насочени към глобалните ИТ вериги за доставки

До Mura през Компютърна сигурностг
Превод на:
български език

Откри се опасна нова глава в продължаващите кампании за кибершпионаж, провеждани от Silk Typhoon, подкрепяна от китайското правителство хакерска група, наскоро свързана с пробива в Министерството на финансите на САЩ. Екипът на Microsoft за разузнаване на заплахи издаде рязко предупреждение, разкривайки, че Silk Typhoon вече активно използва глобалната ИТ верига за доставки, за да проникне в бизнеса, да извършва наблюдение и да открадне чувствителни данни.

Тази последна дейност бележи загрижена промяна в тактиката на Silk Typhoon. Вместо директно да атакува добре защитени облачни платформи, групата насочва вниманието си към доставчиците на ИТ услуги, фирмите за дистанционно наблюдение и управление и доставчиците на управлявани услуги (MSP) – същите компании, отговорни за осигуряването и поддържането на корпоративни мрежи по целия свят.

Как Silk Typhoon прониква през ИТ веригата за доставки

Изследователите на Microsoft разкриха, че Silk Typhoon използва откраднати API ключове, компрометирани идентификационни данни и привилегирован достъп за тихо проникване в ИТ компании. Веднъж влезли вътре, нападателите могат да разширят обхвата си в клиентски среди надолу по веригата, излагайки на риск безброй организации.

Тези атаки са повече от просто опортюнистични . Silk Typhoon демонстрира високо ниво на разбиране на хибридните среди, като умело навигира както в локалната инфраструктура, така и в облачните услуги. Microsoft наблюдава как групата използва законни инструменти като Entra Connect (бивш AADConnect), за да ескалира привилегиите и да поддържа дългосрочен достъп.

Чрез тези входни точки Silk Typhoon провежда:

  • Обширно разузнаване за картографиране на вътрешни системи
  • Странично движение през мрежите
  • Извличане на данни от имейли, споделяне на файлове и съхранение в облак
  • Постоянен достъп чрез уеб обвивки и OAuth приложения

Никой не е в безопасност без силна защита

Microsoft предупреждава, че дори организации, които не са директни мишени, могат да станат съпътстваща щета чрез своите ИТ доставчици. Ако вашият бизнес разчита на споделени ИТ услуги, слабо управление на идентификационни данни или остарял софтуер, може вече да сте уязвими.

В исторически план Silk Typhoon успешно е пробивал широка гама от продукти, включително Microsoft Exchange сървъри, VPN устройства и защитни стени. Групата стоеше зад пробива в Министерството на финансите на САЩ, където шпионира офиси, работещи с чуждестранни инвестиции и санкции, използвайки уязвимости в софтуер като BeyondTrust и PostgreSQL.

Разширени тактики, използвани от Silk Typhoon

Последните кампании на Silk Typhoon подчертават нарастващата им изтънченост. Според Microsoft групата е наблюдавана с помощта на:

  • Атаки с пръскане на парола и разузнаване за разкриване на повторно използвани корпоративни пароли, намерени в публични хранилища като GitHub
  • Компрометирани OAuth приложения с разрешения на високо ниво за кражба на имейли, OneDrive файлове и данни на SharePoint чрез MSGraph
  • Компромиси с приложения с множество наематели, което им позволява да се въртят в облачни среди и да имат достъп до чувствителни ресурси в различни организации
  • Злоупотреба с API на Exchange Web Services (EWS) за ексфилтриране на имейл комуникации

Това, което прави тези атаки особено опасни, е способността на Silk Typhoon да отвлича приложения, които вече имат потребителско съгласие, което прави тяхната злонамерена дейност да се слее с нормалните операции.

Нарастващата заплаха от Силк Тайфун

Microsoft описва Silk Typhoon като една от най-разпространените китайски групи за заплахи в света. Със силна подкрепа и ресурси за бързо използване на уязвимостите от нулевия ден, те представляват значителна заплаха за всички сектори, включително държавни и местни власти, финансови институции и доставчици на ИТ услуги.

Как да защитите вашата организация

В светлината на тези развития Microsoft призовава организациите да:

  • Одитирайте API ключовете и OAuth приложенията, за да гарантирате, че няма подозрителен или прекалено привилегирован достъп
  • Налагайте строга хигиена на идентификационните данни, включително редовни промени на паролите и многофакторно удостоверяване (MFA)
  • Бърза корекция на всички системи, особено на софтуер, често атакуван от разширени постоянни заплахи (APT)
  • Следете за необичайни модели на достъп, особено включващи акаунти за услуги и облачни приложения

    • Насочването към ИТ веригите за доставки доказва, че кибершпионажът вече не е само риск за високопоставени правителствени организации. Днес всяка организация, която зависи от споделена инфраструктура или доставчици трети страни, трябва да се третира като потенциална цел.

    Бдителността за киберсигурност вече не е задължителна – това е единствената защита срещу противници като Silk Typhoon, които винаги са на една крачка от най-чувствителните ви данни.

    Зареждане...