Rabatttilbud for flere lisenser
Datasikkerhet Kina-støttede hackere bak US Treasury Breach nå rettet...

Kina-støttede hackere bak US Treasury Breach nå rettet mot globale IT-forsyningskjeder

Med Mura i Datasikkerhet
Oversett til:
Norsk

Et farlig nytt kapittel har åpnet seg i de pågående cyberspionasjekampanjene utført av Silk Typhoon, en kinesisk regjeringsstøttet hackergruppe som nylig er knyttet til brudd på det amerikanske finansdepartementet. Microsofts team for trusseletterretning har sendt ut en sterk advarsel, og avslører at Silk Typhoon nå aktivt utnytter den globale IT-forsyningskjeden for å infiltrere virksomheter, utføre overvåking og stjele sensitive data.

Denne siste aktiviteten markerer et bekymringsfullt skifte i Silk Typhoons taktikk. I stedet for å direkte angripe godt forsvarte skyplattformer, retter gruppen oppmerksomheten mot IT-tjenesteleverandører, fjernovervåkings- og administrasjonsfirmaer og administrerte tjenesteleverandører (MSP) – selve selskapene som er ansvarlige for å sikre og vedlikeholde bedriftsnettverk over hele verden.

Hvordan silketyfonen infiltrerer gjennom IT-forsyningskjeden

Microsofts forskere avslørte at Silk Typhoon bruker stjålne API-nøkler, kompromittert legitimasjon og privilegert tilgang for å i det stille bryte IT-selskaper. Når angriperne først er inne, kan angriperne utvide sin rekkevidde til nedstrøms kundemiljøer, og sette utallige organisasjoner i fare.

Disse angrepene er mer enn bare opportunistiske . Silk Typhoon demonstrerer en forståelse på høyt nivå av hybridmiljøer, og navigerer dyktig både på lokal infrastruktur og skytjenester. Microsoft observerte at gruppen utnyttet legitime verktøy som Entra Connect (tidligere AADConnect) for å eskalere privilegier og opprettholde langsiktig tilgang.

Gjennom disse inngangspunktene utfører Silk Typhoon:

  • Omfattende rekognosering for å kartlegge interne systemer
  • Sidebevegelse på tvers av nettverk
  • Dataeksfiltrering fra e-poster, fildelinger og skylagring
  • Vedvarende tilgang ved hjelp av web-skall og OAuth-applikasjoner

Ingen er trygge uten sterke forsvar

Microsoft advarer om at selv organisasjoner som ikke er direkte mål, kan bli sikkerhetsskader gjennom sine IT-leverandører. Hvis virksomheten din er avhengig av delte IT-tjenester, svak administrasjon av legitimasjon eller utdatert programvare, kan du allerede være sårbar.

Historisk sett har Silk Typhoon med suksess brutt et bredt spekter av produkter, inkludert Microsoft Exchange-servere, VPN-enheter og brannmurer. Gruppen sto bak bruddet på det amerikanske finansdepartementet, der de spionerte på kontorer som håndterer utenlandske investeringer og sanksjoner, og utnyttet sårbarheter i programvare som BeyondTrust og PostgreSQL.

Avansert taktikk brukt av Silk Typhoon

Silk Typhoons nylige kampanjer fremhever deres økende sofistikering. I følge Microsoft har gruppen blitt observert ved å bruke:

  • Passordsprayangrep og rekognosering for å avdekke gjenbrukte bedriftspassord funnet i offentlige depoter som GitHub
  • Kompromitterte OAuth-applikasjoner med tillatelser på høyt nivå til å stjele e-poster, OneDrive-filer og SharePoint-data via MSGraph
  • Programkompromisser med flere leietakere, slik at de kan svinge på tvers av skymiljøer og få tilgang til sensitive ressurser i forskjellige organisasjoner
  • Exchange Web Services (EWS) API-misbruk for å fjerne e-postkommunikasjon

Det som gjør disse angrepene spesielt farlige er Silk Typhoons evne til å kapre applikasjoner som allerede har brukersamtykke, noe som gjør at deres ondsinnede aktivitet smelter sammen med normale operasjoner.

Den økende trusselen fra silketyfonen

Microsoft beskriver Silk Typhoon som en av de mest ekspansive kinesiske trusselgruppene i verden. Med sterk støtte og ressursene til å utnytte nulldagssårbarheter raskt, utgjør de en betydelig trussel på tvers av sektorer, inkludert statlige og lokale myndigheter, finansinstitusjoner og IT-tjenesteleverandører.

Hvordan beskytte organisasjonen din

I lys av denne utviklingen oppfordrer Microsoft organisasjoner til å:

  • Revider API-nøkler og OAuth-applikasjoner for å sikre ingen mistenkelig eller overprivilegert tilgang
  • Håndheve sterk legitimasjonshygiene, inkludert regelmessige passordendringer og multifaktorautentisering (MFA)
  • Patch alle systemer umiddelbart, spesielt programvare som ofte er målrettet mot avanserte vedvarende trusler (APTer)
  • Overvåk for uvanlige tilgangsmønstre, spesielt når det gjelder tjenestekontoer og skyapplikasjoner

    • Målrettingen av IT-forsyningskjeder beviser at cyberspionasje ikke lenger bare er en risiko for høyprofilerte statlige enheter. I dag må hver organisasjon som er avhengig av delt infrastruktur eller tredjepartsleverandører behandle seg selv som et potensielt mål.

    Cybersecurity årvåkenhet er ikke lenger valgfritt – det er det eneste forsvaret mot motstandere som Silk Typhoon som alltid er ett skritt unna de mest sensitive dataene dine.

    Laster inn...