Mitme litsentsi allahindluspakkumine
Arvuti turvalisus Hiina toetatud häkkerid USA riigikassa rikkumise taga on...

Hiina toetatud häkkerid USA riigikassa rikkumise taga on nüüd suunatud ülemaailmsetele IT-tarneahelatele

Aastaks Mura aastal Arvuti turvalisus
Tõlgi:
Eesti

Hiljuti USA rahandusministeeriumi rikkumisega seostatud Hiina valitsuse toetatud häkkimisrühmitus Silk Typhoon on käimasolevates küberspionaažikampaaniates avanenud uus ohtlik peatükk. Microsofti ohuluure meeskond on välja andnud karmi hoiatuse, paljastades, et Silk Typhoon kasutab nüüd aktiivselt ära ülemaailmset IT-tarneahelat, et tungida ettevõtetesse, teostada järelevalvet ja varastada tundlikke andmeid.

See viimane tegevus tähistab murettekitavat nihet Silk Typhooni taktikas. Selle asemel, et rünnata otseselt hästi kaitstud pilveplatvorme, pöörab grupp oma tähelepanu IT-teenuste pakkujatele, kaugseire- ja haldusfirmadele ning hallatavatele teenusepakkujatele (MSP) – ettevõtetele, kes vastutavad ettevõtte võrkude turvamise ja hooldamise eest kogu maailmas.

Kuidas siiditaifoon läbi IT tarneahela imbub

Microsofti teadlased avastasid, et Silk Typhoon kasutab varastatud API võtmeid, rikutud mandaate ja privilegeeritud juurdepääsu IT-ettevõtete vaikselt rikkumiseks. Kui ründajad on sisenenud, saavad nad laiendada oma ulatust järgnevatesse kliendikeskkondadesse, seades ohtu lugematud organisatsioonid.

Need rünnakud on enamat kui lihtsalt oportunistlikud . Silk Typhoon demonstreerib kõrgetasemelist arusaamist hübriidkeskkondadest, navigeerides oskuslikult nii kohapealses infrastruktuuris kui ka pilveteenustes. Microsoft täheldas, et grupp kasutas õiguste suurendamiseks ja pikaajalise juurdepääsu säilitamiseks seaduslikke tööriistu, nagu Entra Connect (endine AADConnect).

Nende sisenemispunktide kaudu viib Silk Typhoon läbi:

  • Ulatuslik luure sisemiste süsteemide kaardistamiseks
  • Külgmine liikumine võrkude vahel
  • Andmete väljafiltreerimine meilidest, failide jagamisest ja pilvesalvestusest
  • Püsiv juurdepääs veebishellide ja OAuthi rakenduste abil

Ilma tugeva kaitseta pole keegi ohutu

Microsoft hoiatab, et isegi organisatsioonid, mis ei ole otsesed sihtmärgid, võivad saada oma IT-pakkujate kaudu kaaskahju. Kui teie ettevõte tugineb jagatud IT-teenustele, nõrgale mandaadihaldusele või aegunud tarkvarale, võite olla juba haavatav.

Ajalooliselt on Silk Typhoon edukalt rikkunud paljusid tooteid, sealhulgas Microsoft Exchange'i servereid, VPN-seadmeid ja tulemüüre. Rühm oli USA rahandusministeeriumi rikkumise taga, kus ta luuras välisinvesteeringuid ja sanktsioone käsitlevate kontorite järele, kasutades ära selliste tarkvara haavatavusi nagu BeyondTrust ja PostgreSQL.

Silk Typhooni kasutatav täiustatud taktika

Silk Typhooni hiljutised kampaaniad rõhutavad nende kasvavat keerukust. Microsofti sõnul on gruppi täheldatud kasutades:

  • Paroolide pihustamise rünnakud ja luuretegevus avalikes hoidlates (nt GitHubis) leitud korduvkasutatavate ettevõtteparoolide avastamiseks
  • Ohustatud OAuthi rakendused, millel on kõrgetasemelised õigused varastada e-kirju, OneDrive'i faile ja SharePointi andmeid MSGraphi kaudu
  • Mitme rentniku rakenduste kompromissid, mis võimaldavad neil liikuda pilvekeskkondade vahel ja pääseda juurde erinevate organisatsioonide tundlikele ressurssidele
  • Exchange Web Services (EWS) API kuritarvitamine meilisuhtluse väljafiltreerimiseks

Eriti ohtlikuks teeb need rünnakud Silk Typhooni võime kaaperdada rakendusi, millel on juba kasutaja nõusolek, pannes nende pahatahtliku tegevuse tavapäraste toimingutega kokku.

Siiditaifuuni kasvav oht

Microsoft kirjeldab Silk Typhooni kui üht kõige ulatuslikumat Hiina ohurühma maailmas. Tänu tugevale toetusele ja ressurssidele nullpäeva haavatavuste kiireks ärakasutamiseks kujutavad need endast märkimisväärset ohtu erinevatele sektoritele, sealhulgas riigi- ja kohalikele omavalitsustele, finantsasutustele ja IT-teenuste pakkujatele.

Kuidas kaitsta oma organisatsiooni

Nende arengute valguses kutsub Microsoft organisatsioone üles:

  • Kontrollige API võtmeid ja OAuthi rakendusi, et vältida kahtlase või üleprivilegeeritud juurdepääsu tekkimist
  • Järgige tugevat mandaadihügieeni, sealhulgas korrapäraseid paroolivahetusi ja mitmefaktorilist autentimist (MFA)
  • Paigutage kiiresti kõik süsteemid, eriti tarkvara, mida tavaliselt sihivad täiustatud püsivad ohud (APT)
  • Jälgige ebatavalisi juurdepääsumustreid, eriti teenusekontosid ja pilverakendusi

    • IT-tarneahelate sihtimine tõestab, et küberspionaaž ei ole enam ainult kõrgetasemeliste valitsusasutuste risk. Tänapäeval peab iga organisatsioon, mis sõltub jagatud infrastruktuurist või kolmandatest osapooltest pakkujatest, käsitlema end potentsiaalse sihtmärgina.

    Küberturvalisuse valvsus pole enam kohustuslik – see on ainus kaitse selliste vastaste vastu nagu Silk Typhoon, kes on alati teie kõige tundlikumatest andmetest ühe sammu kaugusel.

    Laadimine...