Több licencre vonatkozó kedvezményes árajánlat
Számítógépes biztonság Kína által támogatott hackerek az amerikai kincstári...

Kína által támogatott hackerek az amerikai kincstári feltörés mögött most a globális IT-ellátási láncokat veszik célba

Mura -ra Számítógépes biztonság-ben
Fordítás ide:
Magyar

Veszélyes új fejezet nyílt meg a Silk Typhoon, a kínai kormány által támogatott hackercsoport, a közelmúltban az Egyesült Államok Pénzügyminisztériumának megsértésével kapcsolatba hozható kiberkémkedési kampányokban. A Microsoft fenyegetés-felderítő csapata éles figyelmeztetést adott ki, amely felfedte, hogy a Silk Typhoon jelenleg aktívan kihasználja a globális IT-ellátási láncot, hogy behatoljon a vállalkozásokba, felügyeletet végezzen és érzékeny adatokat lopjon el.

Ez a legújabb tevékenység a Silk Typhoon taktikájában aggasztó változást jelez. Ahelyett, hogy közvetlenül támadná a jól védett felhőplatformokat, a csoport az IT-szolgáltatókra, a távfelügyeleti és felügyeleti cégekre, valamint a menedzselt szolgáltatókra (MSP-k) fordítja figyelmét – pontosan ezekre a vállalatokra, amelyek világszerte felelősek a vállalati hálózatok biztosításáért és karbantartásáért.

A Silk Typhoon beszivárgása az IT-ellátási láncon keresztül

A Microsoft kutatói rájöttek, hogy a Silk Typhoon ellopott API-kulcsokat, feltört hitelesítő adatokat és kiváltságos hozzáférést használ az IT-cégek csendben történő feltöréséhez. A bejutást követően a támadók kiterjeszthetik hatókörüket a későbbi ügyfélkörnyezetekre, így számtalan szervezetet veszélyeztetnek.

Ezek a támadások nem csupán opportunista támadások . A Silk Typhoon a hibrid környezetek magas szintű megértését mutatja be, ügyesen navigálva mind a helyszíni infrastruktúrában, mind a felhőszolgáltatásokban. A Microsoft megfigyelte, hogy a csoport olyan legitim eszközöket használ, mint az Entra Connect (korábban AADConnect) a jogosultságok kiterjesztésére és a hosszú távú hozzáférés fenntartására.

Ezeken a belépési pontokon keresztül a Silk Typhoon a következőket végzi:

  • Kiterjedt felderítés a belső rendszerek feltérképezésére
  • Oldalirányú mozgás a hálózatokon keresztül
  • Adatok kiszűrése e-mailekből, fájlmegosztásokból és felhőalapú tárolásból
  • Állandó hozzáférés webhéjak és OAuth-alkalmazások használatával

Erős védelem nélkül senki sincs biztonságban

A Microsoft arra figyelmeztet, hogy még a nem közvetlen célpontok közé tartozó szervezetek is járulékos károkat okozhatnak informatikai szolgáltatóik révén. Ha vállalkozása megosztott IT-szolgáltatásokra, gyenge hitelesítő adatok kezelésére vagy elavult szoftverekre támaszkodik, akkor már sérülékeny lehet.

Történelmileg a Silk Typhoon sikeresen feltörte a termékek széles körét, beleértve a Microsoft Exchange szervereket, VPN-eszközöket és tűzfalakat. A csoport állt az Egyesült Államok Pénzügyminisztériumának megsértésének hátterében, ahol külföldi befektetéseket és szankciókat kezelő irodák után kémkedett, kihasználva az olyan szoftverek sebezhetőségeit, mint a BeyondTrust és a PostgreSQL.

A Silk Typhoon által használt fejlett taktika

A Silk Typhoon közelmúltbeli kampányai kiemelik növekvő kifinomultságukat. A Microsoft szerint a csoportot a következők használatával figyelték meg:

  • Jelszószóró támadások és felderítés a nyilvános adattárakban, például a GitHubban található újrafelhasznált vállalati jelszavak feltárására
  • Kompromittált OAuth-alkalmazások magas szintű engedélyekkel e-mailek, OneDrive-fájlok és SharePoint-adatok ellopására az MSGraph segítségével
  • Kompromisszumok a több-bérlős alkalmazásokkal, lehetővé téve számukra a felhőkörnyezetek közötti elfordulást és hozzáférést a különböző szervezetek érzékeny erőforrásaihoz
  • Az Exchange Web Services (EWS) API-val való visszaélés az e-mailes kommunikáció kiszűrésére

Ami ezeket a támadásokat különösen veszélyessé teszi, az az, hogy a Silk Typhoon képes eltéríteni az olyan alkalmazásokat, amelyek már rendelkeznek felhasználói beleegyezéssel, így rosszindulatú tevékenységeik beleolvadnak a normál működésbe.

A selyemtájfun növekvő veszélye

A Microsoft a Silk Typhoon leírása szerint a világ egyik legkiterjedtebb kínai fenyegető csoportja . Erős háttérrel és a nulladik napi sebezhetőségek gyors kihasználásához szükséges erőforrásokkal jelentős veszélyt jelentenek az ágazatok között, beleértve az állami és önkormányzati, pénzintézeteket és informatikai szolgáltatókat.

Hogyan védje meg szervezetét

E fejlemények fényében a Microsoft arra kéri a szervezeteket, hogy:

  • Vizsgálja meg az API-kulcsokat és az OAuth-alkalmazásokat, hogy elkerülje a gyanús vagy túlzott hozzáférést
  • Erőteljes hitelesítő higiénia érvényesítése, beleértve a rendszeres jelszómódosítást és a többtényezős hitelesítést (MFA)
  • Azonnal javítsa ki az összes rendszert, különösen azokat a szoftvereket, amelyeket általában fejlett tartós fenyegetések (APT) céloznak meg.
  • Figyelje a szokatlan hozzáférési mintákat, különösen a szolgáltatásfiókokat és a felhőalkalmazásokat illetően

    • Az informatikai ellátási láncok megcélzása bizonyítja, hogy a kiberkémkedés már nem csak a nagy horderejű kormányzati szervek kockázata. Ma minden olyan szervezetnek, amely megosztott infrastruktúrától vagy külső szolgáltatótól függ, potenciális célpontként kell kezelnie magát.

    A kiberbiztonsági éberség már nem kötelező – ez az egyetlen védekezés az olyan ellenfelekkel szemben, mint a Silk Typhoon, akik mindig egy lépésre vannak a legérzékenyebb adataitól.

    Betöltés...