Slevová nabídka pro více licencí
Počítačová bezpečnost Hackeři podporovaní Čínou stojící za porušením amerického...

Hackeři podporovaní Čínou stojící za porušením amerického ministerstva financí se nyní zaměřují na globální dodavatelské řetězce IT

V roce Mura v roce Počítačová bezpečnost
Přeložit do:
Čeština

Nebezpečná nová kapitola se otevřela v probíhajících kyberšpionážních kampaních prováděných Silk Typhoon, hackerskou skupinou podporovanou čínskou vládou, která byla nedávno spojena s porušením amerického ministerstva financí. Tým Microsoft pro analýzu hrozeb vydal důrazné varování a odhaluje, že Silk Typhoon nyní aktivně využívá globální dodavatelský řetězec IT k infiltraci podniků, sledování a krádeži citlivých dat.

Tato nejnovější aktivita znamená znepokojivý posun v taktice Silk Typhoon. Namísto přímého útoku na dobře chráněné cloudové platformy se skupina zaměřuje na poskytovatele IT služeb, společnosti pro vzdálený monitoring a správu a poskytovatele spravovaných služeb (MSP) – tedy na společnosti odpovědné za zabezpečení a údržbu podnikových sítí po celém světě.

Jak hedvábný tajfun proniká do dodavatelského řetězce IT

Výzkumníci Microsoftu odhalili, že Silk Typhoon používá ukradené klíče API, kompromitované přihlašovací údaje a privilegovaný přístup k tichým únikům IT společností. Jakmile se útočníci ocitnou uvnitř, mohou rozšířit svůj dosah do zákaznických prostředí, čímž ohrozí nespočet organizací.

Tyto útoky jsou více než jen oportunistické . Silk Typhoon prokazuje vysokou úroveň porozumění hybridním prostředím a obratně se orientuje jak v místní infrastruktuře, tak v cloudových službách. Microsoft sledoval, jak skupina využívá legitimní nástroje, jako je Entra Connect (dříve AADConnect), k eskalaci oprávnění a udržení dlouhodobého přístupu.

Prostřednictvím těchto vstupních bodů Silk Typhoon provádí:

  • Rozsáhlý průzkum pro zmapování vnitřních systémů
  • Laterální pohyb napříč sítěmi
  • Exfiltrace dat z e-mailů, sdílených souborů a cloudového úložiště
  • Trvalý přístup pomocí webových shellů a aplikací OAuth

Nikdo není v bezpečí bez silné obrany

Microsoft varuje, že i organizace, které nejsou přímými cíli, by se mohly stát vedlejšími škodami prostřednictvím svých poskytovatelů IT. Pokud vaše firma spoléhá na sdílené IT služby, slabou správu pověření nebo zastaralý software, můžete být již zranitelní.

Historicky Silk Typhoon úspěšně prolomil širokou škálu produktů, včetně serverů Microsoft Exchange, zařízení VPN a firewallů. Skupina stála za porušením amerického ministerstva financí, kde špehovala úřady, které se zabývaly zahraničními investicemi a sankcemi, a využívaly zranitelnosti v softwaru jako BeyondTrust a PostgreSQL.

Pokročilá taktika používaná Silk Typhoon

Nedávné kampaně Silk Typhoon zdůrazňují jejich rostoucí sofistikovanost. Podle Microsoftu byla skupina pozorována pomocí:

  • Útoky a průzkum hesel s cílem odhalit znovu použitá firemní hesla nalezená ve veřejných úložištích, jako je GitHub
  • Kompromitované aplikace OAuth s oprávněními na vysoké úrovni krást e-maily, soubory OneDrive a data SharePointu prostřednictvím MSGraph
  • Kompromisy aplikací s více nájemci, které jim umožňují střídat se napříč cloudovými prostředími a přistupovat k citlivým zdrojům v různých organizacích
  • Zneužívání rozhraní Exchange Web Services (EWS) API k exfiltraci e-mailové komunikace

To, co činí tyto útoky obzvláště nebezpečnými, je schopnost Silk Typhoon unést aplikace, které již mají souhlas uživatele, čímž se jejich zákeřná aktivita prolíná s běžnými operacemi.

Rostoucí hrozba hedvábného tajfunu

Microsoft popisuje Silk Typhoon jako jednu z nejrozsáhlejších čínských hrozeb na světě. Se silnou podporou a zdroji pro rychlé využití zero-day zranitelností představují významnou hrozbu napříč sektory, včetně státních a místních samospráv, finančních institucí a poskytovatelů IT služeb.

Jak chránit vaši organizaci

Ve světle tohoto vývoje společnost Microsoft vyzývá organizace, aby:

  • Auditujte klíče API a aplikace OAuth, aby nedošlo k podezřelému nebo příliš privilegovanému přístupu
  • Prosazovat přísnou hygienu pověření, včetně pravidelných změn hesla a vícefaktorového ověřování (MFA)
  • Okamžitě opravte všechny systémy, zejména software, na který se běžně zaměřují pokročilé perzistentní hrozby (APT)
  • Sledujte neobvyklé vzorce přístupu, zejména pokud jde o servisní účty a cloudové aplikace

    • Zacílení dodavatelských řetězců IT dokazuje, že kybernetická špionáž již není jen rizikem pro vysoce postavené vládní subjekty. Dnes se každá organizace, která je závislá na sdílené infrastruktuře nebo poskytovatelích třetích stran, musí sama sebe chovat jako potenciální cíl.

    Bdělost v oblasti kybernetické bezpečnosti již není volitelná – je to jediná obrana proti protivníkům, jako je Silk Typhoon, kteří jsou vždy jeden krok od vašich nejcitlivějších dat.

    Načítání...