הצעת הנחה מרובה רישיונות
אבטחת מחשבים האקרים בגיבוי סין מאחורי הפרת משרד האוצר האמריקאי מכוונים...

האקרים בגיבוי סין מאחורי הפרת משרד האוצר האמריקאי מכוונים כעת לרשתות אספקת IT גלובליות

עד Mura ב-אבטחת מחשבים
לתרגם ל:
עברית

פרק חדש ומסוכן נפתח בקמפיינים המתמשכים של ריגול סייבר שבוצע על ידי Silk Typhoon, קבוצת פריצה שנתמכת על ידי ממשלת סין הקשורה לאחרונה להפרה של משרד האוצר האמריקאי. צוות מודיעין האיומים של מיקרוסופט פרסם אזהרה חריפה, וחשף כי Silk Typhoon מנצל כעת באופן פעיל את שרשרת אספקת ה-IT העולמית כדי לחדור לעסקים, לבצע מעקבים ולגנוב נתונים רגישים.

פעילות אחרונה זו מסמנת שינוי מדאיג בטקטיקות של סילק טייפון. במקום לתקוף ישירות פלטפורמות ענן מוגנות היטב, הקבוצה מפנה את תשומת לבה לספקי שירותי IT, לחברות ניטור וניהול מרחוק ולספקי שירותים מנוהלים (MSPs) - החברות שאחראיות לאבטחת ותחזוקת רשתות ארגוניות ברחבי העולם.

כיצד טייפון המשי חודר דרך שרשרת אספקת ה-IT

החוקרים של מיקרוסופט חשפו ש-Silk Typhoon משתמש במפתחות API גנובים, אישורים שנפגעו וגישה מיוחסת כדי להפר בשקט חברות IT. ברגע שנכנסים, התוקפים יכולים להרחיב את טווח ההגעה שלהם לתוך סביבות לקוחות במורד הזרם, מה שמעמיד אינספור ארגונים בסיכון.

התקפות אלו הן יותר מסתם אופורטוניסטיות . Silk Typhoon מפגין הבנה ברמה גבוהה של סביבות היברידיות, תוך ניווט מיומן הן בתשתית המקומית והן בשירותי הענן. מיקרוסופט הבחינה בקבוצה מנצלת כלים לגיטימיים כמו Entra Connect (לשעבר AADConnect) כדי להסלים הרשאות ולשמור על גישה לטווח ארוך.

דרך נקודות הכניסה הללו, משי טייפון מנהל:

  • סיור נרחב למיפוי מערכות פנימיות
  • תנועה רוחבית על פני רשתות
  • חילוץ נתונים מהודעות דוא"ל, שיתופי קבצים ואחסון בענן
  • גישה מתמשכת באמצעות קונכיות אינטרנט ויישומי OAuth

אף אחד לא בטוח בלי הגנות חזקות

מיקרוסופט מזהירה שאפילו ארגונים שאינם יעדים ישירים עלולים להפוך לנזק נלווה דרך ספקי ה-IT שלהם. אם העסק שלך מסתמך על שירותי IT משותפים, ניהול אישורים חלש או תוכנה מיושנת, ייתכן שאתה כבר פגיע.

היסטורית, Silk Typhoon פרצה בהצלחה מגוון רחב של מוצרים, כולל שרתי Microsoft Exchange, מכשירי VPN וחומות אש. הקבוצה עמדה מאחורי הפרת משרד האוצר האמריקני, שם ריגלה אחר משרדים שטיפלו בהשקעות זרות ובסנקציות, תוך ניצול נקודות תורפה בתוכנות כמו BeyondTrust ו-PostgreSQL.

טקטיקות מתקדמות בשימוש על ידי Silk Typhoon

הקמפיינים האחרונים של Silk Typhoon מדגישים את התחכום ההולך וגדל שלהם. לפי מיקרוסופט, הקבוצה נצפתה באמצעות:

  • התקפות ריסוס סיסמאות וסיור כדי לחשוף סיסמאות ארגוניות בשימוש חוזר שנמצאו במאגרים ציבוריים כמו GitHub
  • יישומי OAuth שנפגעו עם הרשאות ברמה גבוהה לגנוב מיילים, קבצי OneDrive ונתוני SharePoint באמצעות MSGraph
  • יישומים מרובי דיירים מתפשרים, המאפשרים להם להסתובב על פני סביבות ענן ולגשת למשאבים רגישים בארגונים שונים
  • שימוש לרעה ב-API של Exchange Web Services (EWS) כדי לחלץ תקשורת דוא"ל

מה שהופך את ההתקפות הללו למסוכנות במיוחד הוא היכולת של Silk Typhoon לחטוף יישומים שכבר יש להם הסכמת משתמשים, מה שגורם לפעילות הזדונית שלהם להשתלב עם פעולות רגילות.

האיום הגובר של טייפון המשי

מיקרוסופט מתארת את Silk Typhoon כאחת מקבוצות האיומים הסיניות הנרחבות ביותר בעולם. עם גיבוי חזק והמשאבים לניצול פגיעויות של יום אפס במהירות, הם מהווים איום משמעותי על פני מגזרים, כולל ממשלות מדינתיות ומקומיות, מוסדות פיננסיים וספקי שירותי IT.

כיצד להגן על הארגון שלך

לאור ההתפתחויות הללו, מיקרוסופט קוראת לארגונים:

  • בדוק את מפתחות ה-API ויישומי OAuth כדי להבטיח שאין גישה חשודה או הרשאת יתר
  • לאכוף היגיינת אישורים חזקה, כולל שינויי סיסמאות קבועים ואימות רב-גורמי (MFA)
  • תקן את כל המערכות באופן מיידי, במיוחד תוכנות הממוקדות בדרך כלל על ידי איומים מתמשכים מתקדמים (APTs)
  • עקוב אחר דפוסי גישה חריגים, במיוחד עם חשבונות שירות ויישומי ענן

    • הכוונה לרשתות אספקת IT מוכיחה כי ריגול סייבר אינו עוד רק סיכון עבור גופים ממשלתיים בעלי פרופיל גבוה. כיום, כל ארגון התלוי בתשתית משותפת או בספקי צד שלישי חייב להתייחס לעצמו כאל יעד פוטנציאלי.

    ערנות אבטחת סייבר אינה אופציונלית עוד - זו ההגנה היחידה מפני יריבים כמו Silk Typhoon שנמצאים תמיד צעד אחד מהנתונים הרגישים ביותר שלך.

    טוען...