Els pirates informàtics recolzats per la Xina darrere de l'incompliment del Tresor dels EUA s'apunten ara a les cadenes de subministrament de TI globals

El Mura el Seguretat informàtica

Traduir a:

S'ha obert un nou capítol perillós a les campanyes d'espionatge cibernètic en curs realitzades per Silk Typhoon, un grup de pirateria informàtica recolzat pel govern xinès vinculat recentment a l'incompliment del Departament del Tresor dels EUA. L'equip d'intel·ligència d'amenaces de Microsoft ha emès un fort avís, revelant que Silk Typhoon ara està explotant activament la cadena de subministrament de TI global per infiltrar-se en empreses, fer vigilància i robar dades sensibles.

Aquesta darrera activitat marca un canvi preocupant en les tàctiques de Silk Typhoon. En lloc d'atacar directament plataformes de núvol ben defensades, el grup està dirigint la seva atenció als proveïdors de serveis informàtics, empreses de gestió i monitorització remota i proveïdors de serveis gestionats (MSP), les mateixes empreses responsables de protegir i mantenir les xarxes corporatives a tot el món.

Taula de continguts

Com s'infiltra Silk Typhoon a través de la cadena de subministrament de TI

Els investigadors de Microsoft van descobrir que Silk Typhoon utilitza claus API robades, credencials compromeses i accés privilegiat per infringir silenciosament les empreses de TI. Un cop dins, els atacants poden estendre el seu abast als entorns de clients aigües avall, posant en risc innombrables organitzacions.

Aquests atacs són més que oportunistes . Silk Typhoon demostra una comprensió d'alt nivell dels entorns híbrids, navegant amb habilitat tant per la infraestructura local com per als serveis al núvol. Microsoft va observar que el grup explotava eines legítimes com Entra Connect (abans AADConnect) per augmentar els privilegis i mantenir l'accés a llarg termini.

A través d'aquests punts d'entrada, Silk Typhoon realitza:

Reconeixement ampli per traçar sistemes interns
Moviment lateral a través de xarxes
Exfiltració de dades de correus electrònics, arxius compartits i emmagatzematge al núvol
Accés persistent mitjançant shells web i aplicacions OAuth

Ningú està segur sense defenses sòlides

Microsoft adverteix que fins i tot les organitzacions que no són objectius directes podrien convertir-se en danys col·laterals a través dels seus proveïdors de TI. Si la vostra empresa es basa en serveis informàtics compartits, una gestió de credencials feble o programari obsolet, és possible que ja siguis vulnerable.

Històricament, Silk Typhoon ha infringit amb èxit una àmplia gamma de productes, inclosos els servidors de Microsoft Exchange, els aparells VPN i els tallafocs. El grup estava darrere de l'incompliment del Departament del Tresor dels EUA, on va espiar les oficines que gestionaven inversions i sancions estrangeres, explotant vulnerabilitats en programari com BeyondTrust i PostgreSQL.

Tàctiques avançades utilitzades per Silk Typhoon

Les campanyes recents de Silk Typhoon destaquen la seva creixent sofisticació. Segons Microsoft, s'ha observat que el grup utilitza:

Atacs de polvorització de contrasenyes i reconeixement per descobrir contrasenyes corporatives reutilitzades que es troben als dipòsits públics com GitHub
Aplicacions OAuth compromeses amb permisos d'alt nivell per robar correus electrònics, fitxers OneDrive i dades de SharePoint mitjançant MSGraph
Compromisos d'aplicacions multi-inquilí, cosa que els permet girar entre entorns de núvol i accedir a recursos sensibles en diferents organitzacions
Abús de l'API Exchange Web Services (EWS) per exfiltrar les comunicacions de correu electrònic

El que fa que aquests atacs siguin especialment perillosos és la capacitat de Silk Typhoon per segrestar aplicacions que ja tenen el consentiment de l'usuari, fent que la seva activitat maliciosa es fusioni amb les operacions normals.

L'amenaça creixent del tifó de la seda

Microsoft descriu Silk Typhoon com un dels grups d'amenaça xinesos més expansius del món. Amb un fort suport i els recursos per explotar ràpidament les vulnerabilitats de dia zero, representen una amenaça important en tots els sectors, inclosos els governs estatals i locals, les institucions financeres i els proveïdors de serveis informàtics.

Com protegir la vostra organització

A la llum d'aquests desenvolupaments, Microsoft insta les organitzacions a:

Auditeu les claus de l'API i les aplicacions OAuth per garantir que no hi hagi accés sospitós o amb privilegis excessius
Aplicar una higiene de credencials forta, inclosos els canvis regulars de contrasenya i l'autenticació multifactor (MFA)

Apliqueu tots els sistemes ràpidament, especialment el programari habitualment dirigit per amenaces persistents avançades (APT)

Superviseu els patrons d'accés inusuals, especialment els comptes de servei i les aplicacions al núvol

L'orientació a les cadenes de subministrament de TI demostra que el ciberespionatge ja no és només un risc per a les entitats governamentals d'alt perfil. Avui dia, totes les organitzacions que depenen d'una infraestructura compartida o de proveïdors de tercers s'han de tractar com un objectiu potencial.

La vigilància de la ciberseguretat ja no és opcional: és l'única defensa contra adversaris com Silk Typhoon que sempre estan a un pas de les vostres dades més sensibles.

El processador de pagaments d'EnigmaSoft, Digital River GmbH, la declaració de fallida no afecta la protecció antimalware dels clients de SpyHunter

Cerca

Canvia de regió