Χάκερ που υποστηρίζονται από την Κίνα πίσω από την παραβίαση του αμερικανικού δημοσίου στοχεύουν τώρα σε παγκόσμιες αλυσίδες εφοδιασμού πληροφορικής

Μέχρι το Mura το Ασφάλεια Υπολογιστών

Μετάφραση σε:

Ένα επικίνδυνο νέο κεφάλαιο έχει ανοίξει στις συνεχιζόμενες εκστρατείες κυβερνοκατασκοπείας που πραγματοποιεί η Silk Typhoon, μια ομάδα hacking που υποστηρίζεται από την κινεζική κυβέρνηση και συνδέεται πρόσφατα με την παραβίαση του Υπουργείου Οικονομικών των ΗΠΑ. Η ομάδα πληροφοριών απειλών της Microsoft εξέδωσε μια αυστηρή προειδοποίηση, αποκαλύπτοντας ότι η Silk Typhoon εκμεταλλεύεται τώρα ενεργά την παγκόσμια αλυσίδα εφοδιασμού πληροφορικής για να διεισδύσει σε επιχειρήσεις, να πραγματοποιήσει παρακολούθηση και να κλέψει ευαίσθητα δεδομένα.

Αυτή η τελευταία δραστηριότητα σηματοδοτεί μια ανησυχητική αλλαγή στην τακτική της Silk Typhoon. Αντί να επιτίθεται απευθείας σε καλά προστατευμένες πλατφόρμες cloud, ο όμιλος στρέφει την προσοχή του σε παρόχους υπηρεσιών πληροφορικής, εταιρείες απομακρυσμένης παρακολούθησης και διαχείρισης και παρόχους διαχειριζόμενων υπηρεσιών (MSPs)—τις ίδιες τις εταιρείες που είναι υπεύθυνες για την ασφάλεια και τη διατήρηση των εταιρικών δικτύων παγκοσμίως.

Πίνακας περιεχομένων

Πώς ο Silk Typhoon διεισδύει μέσω της εφοδιαστικής αλυσίδας πληροφορικής

Οι ερευνητές της Microsoft αποκάλυψαν ότι το Silk Typhoon χρησιμοποιεί κλεμμένα κλειδιά API, παραβιασμένα διαπιστευτήρια και προνομιακή πρόσβαση για σιωπηρή παραβίαση εταιρειών πληροφορικής. Μόλις μπουν μέσα, οι εισβολείς μπορούν να επεκτείνουν την εμβέλειά τους σε περιβάλλοντα κατάντη πελατών, θέτοντας σε κίνδυνο αμέτρητους οργανισμούς.

Αυτές οι επιθέσεις δεν είναι απλώς καιροσκοπικές . Το Silk Typhoon επιδεικνύει μια υψηλού επιπέδου κατανόηση των υβριδικών περιβαλλόντων, πλοηγώντας επιδέξια τόσο την εσωτερική υποδομή όσο και τις υπηρεσίες cloud. Η Microsoft παρατήρησε ότι η ομάδα εκμεταλλεύεται νόμιμα εργαλεία όπως το Entra Connect (πρώην AADConnect) για να κλιμακώσει τα προνόμια και να διατηρήσει μακροπρόθεσμη πρόσβαση.

Μέσω αυτών των σημείων εισόδου, η Silk Typhoon διεξάγει:

Εκτεταμένη αναγνώριση για τη χαρτογράφηση εσωτερικών συστημάτων
Πλευρική κίνηση στα δίκτυα
Διήθηση δεδομένων από email, κοινόχρηστα αρχεία και αποθήκευση στο cloud
Μόνιμη πρόσβαση χρησιμοποιώντας κελύφη ιστού και εφαρμογές OAuth

Κανείς δεν είναι ασφαλής χωρίς ισχυρές άμυνες

Η Microsoft προειδοποιεί ότι ακόμη και οι οργανισμοί που δεν είναι άμεσοι στόχοι θα μπορούσαν να υποστούν παράπλευρη ζημία μέσω των παρόχων πληροφορικής τους. Εάν η επιχείρησή σας βασίζεται σε κοινές υπηρεσίες πληροφορικής, αδύναμη διαχείριση διαπιστευτηρίων ή ξεπερασμένο λογισμικό, μπορεί να είστε ήδη ευάλωτοι.

Ιστορικά, το Silk Typhoon έχει παραβιάσει με επιτυχία ένα ευρύ φάσμα προϊόντων, συμπεριλαμβανομένων των διακομιστών Microsoft Exchange, των συσκευών VPN και των τειχών προστασίας. Η ομάδα βρισκόταν πίσω από την παραβίαση του Υπουργείου Οικονομικών των ΗΠΑ, όπου κατασκόπευε γραφεία που χειρίζονταν ξένες επενδύσεις και κυρώσεις, εκμεταλλευόμενη ευπάθειες σε λογισμικό όπως το BeyondTrust και η PostgreSQL.

Προηγμένες τακτικές που χρησιμοποιούνται από την Silk Typhoon

Οι πρόσφατες καμπάνιες του Silk Typhoon αναδεικνύουν την αυξανόμενη πολυπλοκότητά τους. Σύμφωνα με τη Microsoft, η ομάδα έχει παρατηρηθεί χρησιμοποιώντας:

Επιθέσεις με ψεκασμό κωδικών πρόσβασης και αναγνώριση για την αποκάλυψη επαναχρησιμοποιημένων εταιρικών κωδικών πρόσβασης που βρίσκονται σε δημόσια αποθετήρια όπως το GitHub
Παραβιασμένες εφαρμογές OAuth με δικαιώματα υψηλού επιπέδου για την κλοπή email, αρχεία OneDrive και δεδομένα του SharePoint μέσω MSGraph
Συμβιβάζεται η εφαρμογή πολλών ενοικιαστών, επιτρέποντάς τους να περιστρέφονται σε περιβάλλοντα cloud και να έχουν πρόσβαση σε ευαίσθητους πόρους σε διαφορετικούς οργανισμούς
Κατάχρηση του API των Υπηρεσιών Ιστού Exchange (EWS) για τη διείσδυση των επικοινωνιών ηλεκτρονικού ταχυδρομείου

Αυτό που κάνει αυτές τις επιθέσεις ιδιαίτερα επικίνδυνες είναι η ικανότητα του Silk Typhoon να κλέβει εφαρμογές που έχουν ήδη τη συναίνεση του χρήστη, κάνοντας την κακόβουλη δραστηριότητά τους να συνδυάζεται με τις κανονικές λειτουργίες.

Η αυξανόμενη απειλή του μεταξιού τυφώνα

Η Microsoft περιγράφει την Silk Typhoon ως μια από τις πιο εκτεταμένες κινεζικές ομάδες απειλών στον κόσμο. Με ισχυρή υποστήριξη και τους πόρους για την ταχεία εκμετάλλευση των τρωτών σημείων zero-day, αποτελούν σημαντική απειλή σε όλους τους τομείς, συμπεριλαμβανομένων των κρατικών και τοπικών κυβερνήσεων, των χρηματοπιστωτικών ιδρυμάτων και των παρόχων υπηρεσιών πληροφορικής.

Πώς να προστατέψετε τον οργανισμό σας

Υπό το φως αυτών των εξελίξεων, η Microsoft προτρέπει τους οργανισμούς να:

Ελέγξτε τα κλειδιά API και τις εφαρμογές OAuth για να διασφαλίσετε ότι δεν υπάρχει ύποπτη ή υπερβολικά προνομιακή πρόσβαση
Επιβολή αυστηρής υγιεινής διαπιστευτηρίων, συμπεριλαμβανομένων τακτικών αλλαγών κωδικού πρόσβασης και ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA)

Επιδιορθώστε έγκαιρα όλα τα συστήματα, ειδικά το λογισμικό που στοχεύεται συνήθως από προηγμένες επίμονες απειλές (APT)

Παρακολουθήστε για ασυνήθιστα μοτίβα πρόσβασης, ιδιαίτερα που αφορούν λογαριασμούς υπηρεσιών και εφαρμογές cloud

Η στόχευση των αλυσίδων εφοδιασμού πληροφορικής αποδεικνύει ότι η κυβερνοκατασκοπεία δεν αποτελεί πλέον μόνο κίνδυνο για υψηλού προφίλ κυβερνητικές οντότητες. Σήμερα, κάθε οργανισμός που εξαρτάται από κοινή υποδομή ή τρίτους παρόχους πρέπει να αντιμετωπίζει τον εαυτό του ως πιθανό στόχο.

Η επαγρύπνηση στον τομέα της κυβερνοασφάλειας δεν είναι πλέον προαιρετική — είναι η μόνη άμυνα ενάντια σε αντιπάλους όπως η Silk Typhoon που βρίσκονται πάντα ένα βήμα μακριά από τα πιο ευαίσθητα δεδομένα σας.

Ο Επεξεργαστής Πληρωμών της EnigmaSoft Digital River GmbH Η υποβολή αίτησης για πτώχευση δεν επηρεάζει την προστασία κατά του κακόβουλου λογισμικού των πελατών του SpyHunter

Αναζήτηση

Αλλαγή Περιοχής