Kiinan tukemat hakkerit USA:n valtiovarainmurron takana ja kohdistuvat nyt maailmanlaajuisiin IT-toimitusketjuihin

Vaarallinen uusi luku on avattu meneillään olevissa kybervakoilukampanjoissa, joita toteuttaa Silk Typhoon, Kiinan hallituksen tukema hakkerointiryhmä, joka on äskettäin liitetty Yhdysvaltain valtiovarainministeriön rikkomukseen. Microsoftin uhkien tiedustelutiimi on antanut jyrkän varoituksen, joka paljastaa, että Silk Typhoon hyödyntää nyt aktiivisesti maailmanlaajuista IT-toimitusketjua soluttautuakseen yrityksiin, suorittaakseen valvontaa ja varastaakseen arkaluonteisia tietoja.

Tämä viimeisin toiminta merkitsee huolestuttavaa muutosta Silk Typhoonin taktiikoissa. Sen sijaan, että hyökkäsivät suoraan hyvin suojattuja pilvialustoja vastaan, konserni kiinnittää huomionsa IT-palvelujen tarjoajiin, etävalvonta- ja hallintayrityksiin sekä hallittuihin palveluntarjoajiin (MSP) – yrityksiin, jotka vastaavat yritysverkkojen turvaamisesta ja ylläpidosta maailmanlaajuisesti.

Kuinka Silk Typhoon tunkeutuu IT-toimitusketjun läpi

Microsoftin tutkijat paljastivat, että Silk Typhoon käyttää varastettuja API-avaimia, vaarantuneita tunnistetietoja ja etuoikeutettua pääsyä IT-yritysten hiljaiseen rikkomiseen. Sisään päästyään hyökkääjät voivat laajentaa ulottuvuuttaan myöhempään asiakasympäristöön ja vaarantaa lukemattomia organisaatioita.

Nämä hyökkäykset ovat enemmän kuin vain opportunistisia . Silk Typhoon osoittaa korkeatasoista ymmärrystä hybridiympäristöistä ja navigoi taitavasti sekä paikallisessa infrastruktuurissa että pilvipalveluissa. Microsoft havaitsi ryhmän hyödyntävän laillisia työkaluja, kuten Entra Connectia (entinen AADConnect), lisätäkseen oikeuksia ja ylläpitääkseen pitkäaikaista pääsyä.

Näiden sisääntulopisteiden kautta Silk Typhoon suorittaa:

• Laaja tiedustelu sisäisten järjestelmien kartoittamiseksi
• Sivuttaisliike verkostojen yli
• Tietojen suodattaminen sähköposteista, tiedostojen jakamisesta ja pilvitallennustilasta
• Pysyvä pääsy web-kuorien ja OAuth-sovellusten avulla

Kukaan ei ole turvassa ilman vahvaa puolustusta

Microsoft varoittaa, että jopa organisaatiot, jotka eivät ole suoria kohteita, voivat joutua sivuvahingoiksi IT-palveluntarjoajiensa kautta. Jos yrityksesi luottaa jaettuihin IT-palveluihin, heikkoon tunnistetietojen hallintaan tai vanhentuneisiin ohjelmistoihin, saatat jo olla haavoittuvainen.

Historiallisesti Silk Typhoon on onnistuneesti murtanut laajan valikoiman tuotteita, mukaan lukien Microsoft Exchange -palvelimet, VPN-laitteet ja palomuurit. Ryhmä oli Yhdysvaltain valtiovarainministeriön tietomurron takana, jossa se vakoili ulkomaisia sijoituksia ja pakotteita käsitteleviä toimistoja hyödyntäen BeyondTrustin ja PostgreSQL:n kaltaisten ohjelmistojen haavoittuvuuksia.

Silk Typhoonin käyttämät edistyneet taktiikat

Silk Typhoonin viimeaikaiset kampanjat korostavat sen kasvavaa hienostuneisuutta. Microsoftin mukaan ryhmää on havaittu käyttämällä:

• Salasanojen ruiskutushyökkäykset ja tiedustelu uudelleenkäytettyjen yritysten salasanojen paljastamiseksi julkisista arkistoista, kuten GitHubista
• Vaaralliset OAuth-sovellukset, joilla on korkean tason oikeudet varastaa sähköposteja, OneDrive-tiedostoja ja SharePoint-tietoja MSGraphin kautta
• Usean vuokraajan sovellusten kompromisseja, joiden ansiosta ne voivat kääntyä pilviympäristöjen välillä ja käyttää arkaluonteisia resursseja eri organisaatioissa
• Exchange Web Services (EWS) -sovellusliittymän väärinkäyttö sähköpostiviestinnän suodattamiseksi

Erityisen vaarallisia näistä hyökkäyksistä tekee Silk Typhoonin kyky kaapata sovelluksia, joilla on jo käyttäjän suostumus, jolloin niiden haitallinen toiminta sulautuu normaaliin toimintaan.

Silkkitaifuunin kasvava uhka

Microsoft luonnehtii Silk Typhoonia yhdeksi laajimmista kiinalaisista uhkaryhmistä maailmassa. Vahvalla tuella ja resursseilla nollapäivän haavoittuvuuksien nopeaan hyödyntämiseen ne muodostavat merkittävän uhan eri sektoreilla, mukaan lukien valtio- ja paikallishallinnot, rahoituslaitokset ja IT-palvelujen tarjoajat.

Kuinka suojella organisaatiotasi

Tämän kehityksen valossa Microsoft kehottaa organisaatioita:

• Tarkastele API-avaimia ja OAuth-sovelluksia varmistaaksesi, ettei epäilyttäviä tai ylioikeutettuja käyttöoikeuksia ole
• Varmista vahva valtuushygienia, mukaan lukien säännölliset salasanan vaihdot ja monitekijätodennus (MFA)

IT-toimitusketjujen kohdistaminen osoittaa, että kybervakoilu ei ole enää pelkkä riski korkean profiilin julkishallinnon tahoille. Nykyään jokaisen organisaation, joka on riippuvainen jaetusta infrastruktuurista tai kolmannen osapuolen tarjoajista, on kohdeltava itseään mahdollisena kohteena.

Kyberturvallisuusvalvonta ei ole enää valinnainen – se on ainoa suojakeino Silk Typhoonin kaltaisia vihollisia vastaan, jotka ovat aina yhden askeleen päässä arkaluontoisista tiedoistasi.