Preventivo sconto multi-licenza
Sicurezza informatica Gli hacker cinesi dietro la violazione del Tesoro degli...

Gli hacker cinesi dietro la violazione del Tesoro degli Stati Uniti ora prendono di mira le catene di fornitura IT globali

Entro Mura nel Sicurezza informatica
Traduci in:
Italiano

Si è aperto un nuovo pericoloso capitolo nelle campagne di cyber-spionaggio in corso condotte da Silk Typhoon, un gruppo di hacker sostenuto dal governo cinese recentemente collegato alla violazione del Dipartimento del Tesoro degli Stati Uniti. Il team di intelligence sulle minacce di Microsoft ha emesso un duro avvertimento, rivelando che Silk Typhoon sta ora sfruttando attivamente la supply chain IT globale per infiltrarsi nelle aziende, condurre attività di sorveglianza e rubare dati sensibili.

Questa ultima attività segna un preoccupante cambiamento nelle tattiche di Silk Typhoon. Invece di attaccare direttamente piattaforme cloud ben difese, il gruppo sta rivolgendo la sua attenzione ai provider di servizi IT, alle aziende di monitoraggio e gestione da remoto e ai provider di servizi gestiti (MSP), le stesse aziende responsabili della protezione e della manutenzione delle reti aziendali in tutto il mondo.

Come Silk Typhoon si infiltra nella catena di fornitura IT

I ricercatori di Microsoft hanno scoperto che Silk Typhoon sta utilizzando chiavi API rubate, credenziali compromesse e accesso privilegiato per violare silenziosamente le aziende IT. Una volta all'interno, gli aggressori possono estendere la loro portata negli ambienti dei clienti a valle, mettendo a rischio innumerevoli organizzazioni.

Questi attacchi sono più che opportunistici . Silk Typhoon dimostra un'elevata comprensione degli ambienti ibridi, navigando abilmente sia nell'infrastruttura on-premise che nei servizi cloud. Microsoft ha osservato il gruppo sfruttare strumenti legittimi come Entra Connect (in precedenza AADConnect) per aumentare i privilegi e mantenere l'accesso a lungo termine.

Attraverso questi punti di ingresso, Silk Typhoon conduce:

  • Ampia ricognizione per mappare i sistemi interni
  • Movimento laterale attraverso le reti
  • Esfiltrazione di dati da e-mail, condivisioni di file e archiviazione cloud
  • Accesso persistente tramite web shell e applicazioni OAuth

Nessuno è al sicuro senza difese forti

Microsoft avverte che anche le organizzazioni che non sono obiettivi diretti potrebbero diventare danni collaterali tramite i loro provider IT. Se la tua azienda si basa su servizi IT condivisi, una gestione delle credenziali debole o software obsoleto, potresti già essere vulnerabile.

Storicamente, Silk Typhoon ha violato con successo un'ampia gamma di prodotti, tra cui server Microsoft Exchange, appliance VPN e firewall. Il gruppo era dietro la violazione del Dipartimento del Tesoro degli Stati Uniti, dove ha spiato gli uffici che gestivano investimenti esteri e sanzioni, sfruttando le vulnerabilità in software come BeyondTrust e PostgreSQL.

Tattiche avanzate utilizzate dal Silk Typhoon

Le recenti campagne di Silk Typhoon evidenziano la loro crescente sofisticatezza. Secondo Microsoft, il gruppo è stato osservato mentre utilizzava:

  • Attacchi password spray e ricognizione per scoprire password aziendali riutilizzate trovate in repository pubblici come GitHub
  • Applicazioni OAuth compromesse con autorizzazioni di alto livello per rubare e-mail, file OneDrive e dati SharePoint tramite MSGraph
  • Compromessi delle applicazioni multi-tenant, consentendo loro di spostarsi tra gli ambienti cloud e di accedere a risorse sensibili in diverse organizzazioni
  • Abuso dell'API di Exchange Web Services (EWS) per esfiltrare le comunicazioni e-mail

Ciò che rende questi attacchi particolarmente pericolosi è la capacità di Silk Typhoon di dirottare applicazioni che hanno già il consenso dell'utente, facendo sì che la loro attività dannosa si mescoli alle normali operazioni.

La crescente minaccia del tifone della seta

Microsoft descrive Silk Typhoon come uno dei gruppi di minacce cinesi più espansivi al mondo. Con un forte supporto e le risorse per sfruttare rapidamente le vulnerabilità zero-day, rappresentano una minaccia significativa in tutti i settori, tra cui governi statali e locali, istituzioni finanziarie e fornitori di servizi IT.

Come proteggere la tua organizzazione

Alla luce di questi sviluppi, Microsoft esorta le organizzazioni a:

  • Controlla le chiavi API e le applicazioni OAuth per garantire che non vi siano accessi sospetti o con privilegi eccessivi
  • Applicare una rigorosa igiene delle credenziali, tra cui modifiche regolari delle password e autenticazione a più fattori (MFA)
  • Applicare tempestivamente le patch a tutti i sistemi, in particolare ai software comunemente presi di mira dalle minacce persistenti avanzate (APT)
  • Monitorare modelli di accesso insoliti, in particolare quelli che coinvolgono account di servizio e applicazioni cloud

    • Il targeting delle catene di fornitura IT dimostra che lo spionaggio informatico non è più solo un rischio per enti governativi di alto profilo. Oggi, ogni organizzazione che dipende da infrastrutture condivise o da provider terzi deve trattarsi come un potenziale bersaglio.

    La vigilanza sulla sicurezza informatica non è più un optional: è l'unica difesa contro avversari come Silk Typhoon, sempre a un passo dai tuoi dati più sensibili.

    Caricamento in corso...