Vairāku licenču atlaides piedāvājums
Datoru drošība Ķīnas atbalstīti hakeri aiz ASV valsts kases pārkāpumiem...

Ķīnas atbalstīti hakeri aiz ASV valsts kases pārkāpumiem tagad ir vērsti uz globālajām IT piegādes ķēdēm

Līdz Mura. gadam Datoru drošība. gadā
Tulkot uz:
Latviešu

Pašlaik notiekošajās kiberspiegošanas kampaņās, ko veic Ķīnas valdības atbalstītā hakeru grupa Silk Typhoon, kas nesen saistīta ar ASV Finanšu ministrijas pārkāpumu, ir atvērta jauna bīstama sadaļa. Microsoft draudu izlūkošanas komanda ir izteikusi asu brīdinājumu, atklājot, ka Silk Typhoon tagad aktīvi izmanto globālo IT piegādes ķēdi, lai iefiltrētos uzņēmumos, veiktu uzraudzību un nozagtu sensitīvus datus.

Šī jaunākā darbība iezīmē satraucošu maiņu Silk Typhoon taktikā. Tā vietā, lai tieši uzbruktu labi aizsargātām mākoņu platformām, grupa pievērš uzmanību IT pakalpojumu sniedzējiem, attālās uzraudzības un pārvaldības uzņēmumiem un pārvaldītajiem pakalpojumu sniedzējiem (MSP) — tiem pašiem uzņēmumiem, kas ir atbildīgi par korporatīvo tīklu nodrošināšanu un uzturēšanu visā pasaulē.

Kā zīda taifūns iefiltrējas IT piegādes ķēdē

Microsoft pētnieki atklāja, ka Silk Typhoon izmanto zagtas API atslēgas, apdraudētus akreditācijas datus un priviliģētu piekļuvi, lai klusi pārkāptu IT uzņēmumus. Nokļūstot iekšā, uzbrucēji var paplašināt savu darbību pakārtotajā klientu vidē, pakļaujot riskam neskaitāmas organizācijas.

Šie uzbrukumi ir vairāk nekā tikai oportūnistiski . Silk Typhoon demonstrē augsta līmeņa izpratni par hibrīdvidēm, prasmīgi orientējoties gan lokālajā infrastruktūrā, gan mākoņpakalpojumos. Microsoft novēroja, ka grupa izmanto tādus likumīgus rīkus kā Entra Connect (iepriekš AADConnect), lai palielinātu privilēģijas un uzturētu ilgtermiņa piekļuvi.

Izmantojot šos ieejas punktus, Silk Typhoon veic:

  • Plaša izlūkošana, lai izplānotu iekšējās sistēmas
  • Sānu kustība pa tīkliem
  • Datu izfiltrēšana no e-pastiem, failu koplietošanas un mākoņkrātuves
  • Pastāvīga piekļuve, izmantojot tīmekļa čaulas un OAuth lietojumprogrammas

Neviens nav drošībā bez spēcīgas aizsardzības

Microsoft brīdina, ka pat organizācijas, kas nav tiešie mērķi, var kļūt par papildu kaitējumu, izmantojot IT pakalpojumu sniedzējus. Ja jūsu uzņēmums paļaujas uz koplietotiem IT pakalpojumiem, vāju akreditācijas datu pārvaldību vai novecojušu programmatūru, iespējams, jūs jau esat neaizsargāts.

Vēsturiski Silk Typhoon ir veiksmīgi pārkāpis plašu produktu klāstu, tostarp Microsoft Exchange serverus, VPN ierīces un ugunsmūrus. Grupa bija aiz ASV Finanšu ministrijas pārkāpuma, kur tā izspiegoja birojus, kas nodarbojas ar ārvalstu ieguldījumiem un sankcijām, izmantojot tādas programmatūras ievainojamības kā BeyondTrust un PostgreSQL.

Silk Typhoon izmantotā uzlabotā taktika

Silk Typhoon nesenās kampaņas izceļ to pieaugošo izsmalcinātību. Pēc Microsoft domām, grupa tika novērota, izmantojot:

  • Paroļu izsmidzināšanas uzbrukumi un izlūkošana, lai atklātu atkārtoti izmantotas korporatīvās paroles, kas atrastas publiskajās krātuvēs, piemēram, GitHub
  • Kompromitētas OAuth lietojumprogrammas ar augsta līmeņa atļaujām zagt e-pastus, OneDrive failus un SharePoint datus, izmantojot MSGraph
  • Vairāku nomnieku lietojumprogrammu kompromisi, ļaujot tiem pārvietoties mākoņa vidē un piekļūt sensitīviem resursiem dažādās organizācijās
  • Exchange Web Services (EWS) API ļaunprātīga izmantošana, lai izfiltrētu e-pasta saziņu

Īpaši bīstamus šos uzbrukumus padara Silk Typhoon spēja nolaupīt lietojumprogrammas, kurām jau ir lietotāja piekrišana, liekot to ļaunprātīgai darbībai saplūst ar parasto darbību.

Pieaugošais zīda taifūna drauds

Microsoft apraksta Silk Typhoon kā vienu no visplašākajām Ķīnas draudu grupām pasaulē. Ar spēcīgu atbalstu un resursiem, lai ātri izmantotu nulles dienas ievainojamības, tie rada ievērojamus draudus dažādās nozarēs, tostarp valsts un pašvaldību, finanšu iestāžu un IT pakalpojumu sniedzēju jomā.

Kā aizsargāt savu organizāciju

Ņemot vērā šos notikumus, Microsoft mudina organizācijas:

  • Audita API atslēgas un OAuth lietojumprogrammas, lai nodrošinātu, ka nav aizdomīgu vai pārāk priviliģētu piekļuvi
  • Ieviesiet stingru akreditācijas datu higiēnu, tostarp regulāras paroles maiņas un daudzfaktoru autentifikāciju (MFA)
  • Nekavējoties izlabojiet visas sistēmas, īpaši programmatūru, kas parasti ir vērsta uz progresīviem pastāvīgiem draudiem (APT).
  • Pārraugiet neparastus piekļuves modeļus, īpaši saistībā ar pakalpojumu kontiem un mākoņa lietojumprogrammām

    • IT piegādes ķēžu mērķēšana pierāda, ka kiberspiegošana vairs nav tikai risks augsta līmeņa valdības struktūrām. Mūsdienās katrai organizācijai, kas ir atkarīga no kopīgas infrastruktūras vai trešo pušu pakalpojumu sniedzējiem, ir jāuzskata sevi par potenciālu mērķi.

    Kiberdrošības modrība vairs nav obligāta — tā ir vienīgā aizsardzība pret tādiem pretiniekiem kā Silk Typhoon, kuri vienmēr atrodas viena soļa attālumā no jūsu sensitīvākajiem datiem.

    Notiek ielāde...