قیمت چند مجوز تخفیف
امنیت کامپیوتر هکرهای مورد حمایت چین پشت نقض خزانه داری آمریکا هستند و...

هکرهای مورد حمایت چین پشت نقض خزانه داری آمریکا هستند و اکنون زنجیره های تامین فناوری اطلاعات جهانی را هدف قرار می دهند

تا Mura در امنیت کامپیوتر
ترجمه به:
فارسی

فصل خطرناک جدیدی در کمپین‌های جاسوسی سایبری در حال انجام توسط Silk Typhoon، یک گروه هکری تحت حمایت دولت چین که اخیراً با نقض وزارت خزانه‌داری آمریکا مرتبط است، باز شده است. تیم اطلاعاتی تهدیدات مایکروسافت هشداری جدی صادر کرده است و فاش می کند که Silk Typhoon اکنون به طور فعال از زنجیره تامین جهانی فناوری اطلاعات برای نفوذ به مشاغل، انجام نظارت و سرقت داده های حساس سوء استفاده می کند.

این آخرین فعالیت نشان دهنده یک تغییر نگران کننده در تاکتیک های سیلک تایفون است. این گروه به جای حمله مستقیم به پلتفرم های ابری با دفاع خوب، توجه خود را به ارائه دهندگان خدمات فناوری اطلاعات، شرکت های نظارت و مدیریت از راه دور، و ارائه دهندگان خدمات مدیریت شده (MSP) معطوف کرده است - همان شرکت هایی که مسئول ایمن سازی و حفظ شبکه های شرکتی در سراسر جهان هستند.

چگونه طوفان ابریشم از طریق زنجیره تامین فناوری اطلاعات نفوذ می کند

محققان مایکروسافت کشف کردند که Silk Typhoon از کلیدهای API دزدیده شده، اعتبارنامه‌های به خطر افتاده و دسترسی ممتاز برای نقض بی‌صدا شرکت‌های فناوری اطلاعات استفاده می‌کند. مهاجمان پس از ورود به داخل، می توانند دسترسی خود را به محیط های پایین دستی مشتریان گسترش دهند و سازمان های بی شماری را در معرض خطر قرار دهند.

این حملات فراتر از فرصت طلبی هستند . Silk Typhoon درک سطح بالایی از محیط های ترکیبی را نشان می دهد و به طرز ماهرانه ای در زیرساخت های داخلی و خدمات ابری پیمایش می کند. مایکروسافت مشاهده کرد که این گروه از ابزارهای قانونی مانند Entra Connect (AADConnect سابق) برای افزایش امتیازات و حفظ دسترسی طولانی مدت استفاده می کند.

سیلک تایفون از طریق این نقاط ورود انجام می دهد:

  • شناسایی گسترده برای ترسیم نقشه سیستم های داخلی
  • حرکت جانبی در سراسر شبکه ها
  • استخراج داده ها از ایمیل ها، اشتراک گذاری فایل ها و ذخیره سازی ابری
  • دسترسی مداوم با استفاده از پوسته های وب و برنامه های OAuth

هیچ کس بدون دفاع قوی ایمن نیست

مایکروسافت هشدار می‌دهد که حتی سازمان‌هایی که هدف مستقیم نیستند، ممکن است از طریق ارائه‌دهندگان فناوری اطلاعات خود به آسیب‌های جانبی تبدیل شوند. اگر کسب و کار شما به خدمات مشترک فناوری اطلاعات، مدیریت اعتبار ضعیف یا نرم افزار قدیمی متکی است، ممکن است در حال حاضر آسیب پذیر باشید.

از لحاظ تاریخی، Silk Typhoon با موفقیت طیف وسیعی از محصولات، از جمله سرورهای Microsoft Exchange، لوازم VPN و فایروال ها را نقض کرده است. این گروه پشت نقض وزارت خزانه داری ایالات متحده بود، جایی که از دفاتر مدیریت سرمایه گذاری های خارجی و تحریم ها جاسوسی می کرد و از آسیب پذیری های نرم افزارهایی مانند BeyondTrust و PostgreSQL سوء استفاده می کرد.

تاکتیک های پیشرفته ای که توسط Silk Typhoon استفاده می شود

کمپین های اخیر Silk Typhoon پیچیدگی رو به رشد آنها را برجسته می کند. به گفته مایکروسافت، این گروه با استفاده از موارد زیر مشاهده شده است:

  • حملات اسپری گذرواژه و شناسایی برای کشف رمزهای عبور مجدد شرکتی که در مخازن عمومی مانند GitHub یافت می شوند.
  • برنامه‌های OAuth به خطر افتاده با مجوزهای سطح بالا برای سرقت ایمیل‌ها، فایل‌های OneDrive و داده‌های SharePoint از طریق MSGraph
  • برنامه‌های چند مستاجر را به خطر می‌اندازد، به آنها اجازه می‌دهد در محیط‌های ابری حرکت کنند و به منابع حساس در سازمان‌های مختلف دسترسی داشته باشند.
  • سوء استفاده از API از خدمات تبادل وب (EWS) برای نفوذ در ارتباطات ایمیل

چیزی که این حملات را به‌ویژه خطرناک می‌کند، توانایی Silk Typhoon برای ربودن برنامه‌هایی است که قبلاً رضایت کاربر را دارند و باعث می‌شود فعالیت مخرب آنها با عملیات عادی ترکیب شود.

تهدید رو به رشد طوفان ابریشم

مایکروسافت سیلک تایفون را یکی از گسترده‌ترین گروه‌های تهدید چینی در جهان توصیف می‌کند. با پشتوانه قوی و منابع برای بهره‌برداری سریع از آسیب‌پذیری‌های روز صفر، این آسیب‌پذیری‌ها در سراسر بخش‌ها، از جمله دولت‌های ایالتی و محلی، مؤسسات مالی و ارائه‌دهندگان خدمات فناوری اطلاعات، تهدیدی مهم هستند.

چگونه از سازمان خود محافظت کنید

با توجه به این پیشرفت‌ها، مایکروسافت از سازمان‌ها می‌خواهد:

  • کلیدهای API و برنامه های OAuth را برای اطمینان از عدم دسترسی مشکوک یا بیش از حد مجاز بررسی کنید
  • رعایت بهداشت اعتبار قوی، از جمله تغییرات منظم رمز عبور و احراز هویت چند عاملی (MFA)
  • همه سیستم‌ها را به‌سرعت وصله کنید، به‌ویژه نرم‌افزارهایی که معمولاً توسط تهدیدات دائمی پیشرفته (APTs) هدف قرار می‌گیرند.
  • الگوهای دسترسی غیرمعمول، به ویژه شامل حساب‌های سرویس و برنامه‌های ابری را بررسی کنید

    • هدف قرار دادن زنجیره‌های تامین فناوری اطلاعات ثابت می‌کند که جاسوسی سایبری دیگر تنها یک خطر برای نهادهای دولتی با مشخصات بالا نیست. امروزه، هر سازمانی که به زیرساخت مشترک یا ارائه دهندگان شخص ثالث وابسته است، باید با خود به عنوان یک هدف بالقوه رفتار کند.

    هوشیاری امنیت سایبری دیگر اختیاری نیست - این تنها دفاع در برابر دشمنانی مانند Silk Typhoon است که همیشه یک قدم با حساس ترین داده های شما فاصله دارند.

    بارگذاری...