Rabattilbud med flere licenser
Computersikkerhed Kina-støttede hackere bag brud på det amerikanske...

Kina-støttede hackere bag brud på det amerikanske finansministerium retter sig nu mod globale it-forsyningskæder

Med Mura i Computersikkerhed
Oversæt til:
Dansk

Et farligt nyt kapitel er åbnet i de igangværende cyberspionagekampagner udført af Silk Typhoon, en kinesisk regeringsstøttet hackergruppe, der for nylig er forbundet med brud på det amerikanske finansministerium. Microsofts trusselsefterretningsteam har udsendt en skarp advarsel, der afslører, at Silk Typhoon nu aktivt udnytter den globale it-forsyningskæde til at infiltrere virksomheder, udføre overvågning og stjæle følsomme data.

Denne seneste aktivitet markerer et bekymrende skift i Silk Typhoons taktik. I stedet for direkte at angribe velforsvarede cloud-platforme, retter gruppen sin opmærksomhed mod it-tjenesteudbydere, fjernovervågnings- og administrationsfirmaer og managed service providers (MSP'er) – selve de virksomheder, der er ansvarlige for at sikre og vedligeholde virksomhedsnetværk verden over.

Hvordan Silk Typhoon infiltrerer gennem IT-forsyningskæden

Microsofts forskere afslørede, at Silk Typhoon bruger stjålne API-nøgler, kompromitterede legitimationsoplysninger og privilegeret adgang til lydløst at bryde IT-virksomheder. Når angriberne først er inde, kan angriberne udvide deres rækkevidde til downstream-kundemiljøer, hvilket udsætter utallige organisationer i fare.

Disse angreb er mere end blot opportunistiske . Silk Typhoon demonstrerer en forståelse på højt niveau af hybride miljøer og navigerer dygtigt i både lokal infrastruktur og cloud-tjenester. Microsoft observerede, at gruppen udnyttede legitime værktøjer som Entra Connect (tidligere AADConnect) til at eskalere privilegier og opretholde langsigtet adgang.

Gennem disse indgangspunkter udfører Silk Typhoon:

  • Omfattende rekognoscering for at kortlægge interne systemer
  • Sidebevægelse på tværs af netværk
  • Dataeksfiltrering fra e-mails, fildelinger og cloud-lagring
  • Vedvarende adgang ved hjælp af web-shells og OAuth-applikationer

Ingen er i sikkerhed uden stærke forsvar

Microsoft advarer om, at selv organisationer, der ikke er direkte mål, kan blive til sideskade gennem deres it-udbydere. Hvis din virksomhed er afhængig af delte it-tjenester, svag legitimationsstyring eller forældet software, er du muligvis allerede sårbar.

Historisk set har Silk Typhoon med succes brudt en bred vifte af produkter, herunder Microsoft Exchange-servere, VPN-apparater og firewalls. Gruppen stod bag brud på det amerikanske finansministerium, hvor den spionerede på kontorer, der håndterede udenlandske investeringer og sanktioner, og udnyttede sårbarheder i software som BeyondTrust og PostgreSQL.

Avanceret taktik brugt af Silk Typhoon

Silk Typhoons seneste kampagner fremhæver deres voksende sofistikering. Ifølge Microsoft er gruppen blevet observeret ved hjælp af:

  • Adgangskodesprayangreb og rekognoscering for at afsløre genbrugte virksomhedsadgangskoder fundet i offentlige lagre som GitHub
  • Kompromitterede OAuth-applikationer med tilladelser på højt niveau til at stjæle e-mails, OneDrive-filer og SharePoint-data via MSGraph
  • Multi-tenant-applikationer går på kompromis, hvilket giver dem mulighed for at pivotere på tværs af cloudmiljøer og få adgang til følsomme ressourcer i forskellige organisationer
  • Exchange Web Services (EWS) API-misbrug til at eksfiltrere e-mail-kommunikation

Det, der gør disse angreb særligt farlige, er Silk Typhoons evne til at kapre applikationer, der allerede har brugerens samtykke, hvilket får deres ondsindede aktivitet til at blande sig med normale operationer.

Den voksende trussel fra silketyfonen

Microsoft beskriver Silk Typhoon som en af de mest ekspansive kinesiske trusselsgrupper i verden. Med stærk opbakning og ressourcerne til hurtigt at udnytte nul-dages sårbarheder udgør de en betydelig trussel på tværs af sektorer, herunder statslige og lokale myndigheder, finansielle institutioner og it-serviceudbydere.

Sådan beskytter du din organisation

I lyset af denne udvikling opfordrer Microsoft indtrængende organisationer til at:

  • Revider API-nøgler og OAuth-applikationer for at sikre, at der ikke er mistænkelig eller overprivilegeret adgang
  • Håndhæv stærk legitimationshygiejne, herunder regelmæssige adgangskodeændringer og multifaktorautentificering (MFA)
  • Patch alle systemer omgående, især software, der almindeligvis er målrettet mod avancerede vedvarende trusler (APT'er)
  • Overvåg for usædvanlige adgangsmønstre, især involverer servicekonti og cloud-applikationer

    • Målretningen mod it-forsyningskæder beviser, at cyberspionage ikke længere kun er en risiko for højt profilerede statslige enheder. I dag skal enhver organisation, der er afhængig af delt infrastruktur eller tredjepartsudbydere, behandle sig selv som et potentielt mål.

    Cybersikkerhedsvagt er ikke længere valgfrit – det er det eneste forsvar mod modstandere som Silk Typhoon, der altid er et skridt væk fra dine mest følsomme data.

    Indlæser...