Kelių licencijų nuolaidos pasiūlymas
Kompiuterių apsauga Kinijos remiami įsilaužėliai už JAV iždo pažeidimo dabar...

Kinijos remiami įsilaužėliai už JAV iždo pažeidimo dabar taikosi į pasaulines IT tiekimo grandines

Autorius Mura, Kompiuterių apsauga
Versti į:
Lietuvių

Vykstančiose kibernetinio šnipinėjimo kampanijose, kurias vykdo Kinijos vyriausybės remiama programišių grupė „Silk Typhoon“, neseniai siejama su JAV iždo departamento pažeidimu, atidarytas naujas pavojingas skyrius. „Microsoft“ grėsmių žvalgybos komanda paskelbė griežtą įspėjimą, atskleidžiantį, kad „Silk Typhoon“ dabar aktyviai naudojasi pasauline IT tiekimo grandine, kad įsiskverbtų į įmones, vykdytų stebėjimą ir pavogtų neskelbtinus duomenis.

Ši naujausia veikla žymi nerimą keliantį „Silk Typhoon“ taktikos pokytį. Užuot tiesiogiai puldinėjusias gerai apsaugotas debesų platformas, grupė kreipia dėmesį į IT paslaugų teikėjus, nuotolinio stebėjimo ir valdymo įmones bei valdomų paslaugų teikėjus (MSP) – įmones, atsakingas už įmonių tinklų apsaugą ir priežiūrą visame pasaulyje.

Kaip šilko taifūnas prasiskverbia per IT tiekimo grandinę

„Microsoft“ tyrėjai atskleidė, kad „Silk Typhoon“ naudoja pavogtus API raktus, sukompromituotus kredencialus ir privilegijuotą prieigą, kad tyliai įsilaužtų į IT įmones. Patekę į vidų, užpuolikai gali išplėsti savo pasiekiamumą į paskesnes klientų aplinkas, sukeldami pavojų daugybei organizacijų.

Šie išpuoliai yra ne tik oportunistiniai . Silk Typhoon demonstruoja aukšto lygio supratimą apie hibridines aplinkas, sumaniai naršydamas tiek vietinę infrastruktūrą, tiek debesijos paslaugas. „Microsoft“ pastebėjo, kad grupė naudojasi teisėtais įrankiais, tokiais kaip „Entra Connect“ (buvusi AADConnect), siekdama išplėsti privilegijas ir išlaikyti ilgalaikę prieigą.

Per šiuos įėjimo taškus „Silk Typhoon“ vykdo:

  • Išsami žvalgyba, siekiant nustatyti vidines sistemas
  • Šoninis judėjimas per tinklus
  • Duomenų išfiltravimas iš el. laiškų, failų bendrinimo ir saugyklos debesyje
  • Nuolatinė prieiga naudojant žiniatinklio apvalkalus ir OAuth programas

Niekas nėra saugus be stiprios gynybos

„Microsoft“ įspėja, kad net organizacijos, kurios nėra tiesioginis taikinys, gali tapti papildoma žala per savo IT tiekėjus. Jei jūsų verslas remiasi bendromis IT paslaugomis, silpnu kredencialų valdymu arba pasenusia programine įranga, jūs jau galite būti pažeidžiami.

Istoriškai „Silk Typhoon“ sėkmingai pažeidė daugybę produktų, įskaitant „Microsoft Exchange“ serverius, VPN įrenginius ir ugniasienes. Grupė buvo už JAV iždo departamento pažeidimo, kai ji šnipinėjo biurus, tvarkančius užsienio investicijas ir sankcijas, naudodama programinės įrangos, pvz., BeyondTrust ir PostgreSQL, pažeidžiamumą.

„Silk Typhoon“ naudojama pažangi taktika

Naujausios „Silk Typhoon“ kampanijos pabrėžia jų augantį rafinuotumą. „Microsoft“ teigimu, grupė buvo stebima naudojant:

  • Slaptažodžių purškimo atakos ir žvalgyba, siekiant atskleisti pakartotinai panaudotus įmonės slaptažodžius, rastus viešose saugyklose, pvz., „GitHub“
  • Pažeistos OAuth programos su aukšto lygio leidimais pavogti el. laiškus, OneDrive failus ir SharePoint duomenis naudojant MSGraph
  • Kelių nuomininkų taikomųjų programų kompromisai, leidžiantys jiems pasisukti debesies aplinkoje ir pasiekti jautrius išteklius įvairiose organizacijose
  • „Exchange Web Services“ (EWS) API piktnaudžiavimas siekiant išfiltruoti el. pašto ryšius

Šios atakos ypač pavojingos yra „Silk Typhoon“ galimybė užgrobti programas, kurios jau turi vartotojo sutikimą, todėl jų kenkėjiška veikla susilieja su įprastomis operacijomis.

Didėjanti šilko taifūno grėsmė

„Microsoft“ apibūdina „Silk Typhoon“ kaip vieną didžiausių Kinijos grėsmių grupių pasaulyje. Turėdami tvirtą paramą ir išteklius, leidžiančius greitai išnaudoti nulinės dienos pažeidžiamumą, jie kelia didelę grėsmę įvairiems sektoriams, įskaitant valstybės ir vietos vyriausybes, finansų institucijas ir IT paslaugų teikėjus.

Kaip apsaugoti savo organizaciją

Atsižvelgdama į šiuos pokyčius, „Microsoft“ ragina organizacijas:

  • Patikrinkite API raktus ir „OAuth“ programas, kad išvengtumėte įtartinos ar pernelyg didelės prieigos
  • Vykdykite tvirtą kredencialų higieną, įskaitant reguliarų slaptažodžio keitimą ir kelių veiksnių autentifikavimą (MFA)
  • Nedelsdami pataisykite visas sistemas, ypač programinę įrangą, kuriai dažniausiai taikomos pažangios nuolatinės grėsmės (APT)
  • Stebėkite neįprastus prieigos modelius, ypač susijusius su paslaugų paskyromis ir debesų programomis

    • Taikymas į IT tiekimo grandines įrodo, kad kibernetinis šnipinėjimas nebėra tik didelio masto vyriausybės subjektų rizika. Šiandien kiekviena organizacija, kuri priklauso nuo bendros infrastruktūros ar trečiųjų šalių tiekėjų, turi laikyti save potencialiu taikiniu.

    Kibernetinio saugumo budrumas nebėra neprivalomas – tai vienintelė apsauga nuo priešų, tokių kaip Silk Typhoon, kurie visada yra vienu žingsniu nuo jautriausių duomenų.

    Įkeliama...