Kortingsaanbieding voor meerdere licenties
Computerbeveiliging Door China gesteunde hackers achter Amerikaanse...

Door China gesteunde hackers achter Amerikaanse schatkistinbreuk richten zich nu op wereldwijde IT-toeleveringsketens

Tegen Mura in Computerbeveiliging
Vertalen naar:
Nederlands

Er is een gevaarlijk nieuw hoofdstuk geopend in de aanhoudende cyber-espionagecampagnes van Silk Typhoon, een door de Chinese overheid gesteunde hackersgroep die onlangs in verband werd gebracht met de inbreuk op het Amerikaanse ministerie van Financiën. Het threat intelligence-team van Microsoft heeft een duidelijke waarschuwing afgegeven, waaruit blijkt dat Silk Typhoon nu actief de wereldwijde IT-toeleveringsketen exploiteert om bedrijven te infiltreren, toezicht te houden en gevoelige gegevens te stelen.

Deze laatste activiteit markeert een zorgwekkende verschuiving in de tactieken van Silk Typhoon. In plaats van direct goed verdedigde cloudplatforms aan te vallen, richt de groep haar aandacht op IT-serviceproviders, externe monitoring- en managementbedrijven en managed service providers (MSP's) - de bedrijven die verantwoordelijk zijn voor het beveiligen en onderhouden van bedrijfsnetwerken wereldwijd.

Hoe Silk Typhoon de IT-toeleveringsketen binnendringt

Onderzoekers van Microsoft ontdekten dat Silk Typhoon gestolen API-sleutels, gecompromitteerde inloggegevens en bevoorrechte toegang gebruikt om IT-bedrijven in stilte te plunderen. Eenmaal binnen kunnen de aanvallers hun bereik uitbreiden naar downstream-klantomgevingen, waardoor talloze organisaties in gevaar komen.

Deze aanvallen zijn meer dan alleen opportunistisch . Silk Typhoon toont een hoog niveau van begrip van hybride omgevingen en navigeert vakkundig door zowel on-premises infrastructuur als cloudservices. Microsoft observeerde de groep die legitieme tools zoals Entra Connect (voorheen AADConnect) misbruikte om privileges te escaleren en toegang op de lange termijn te behouden.

Via deze toegangspunten voert Silk Typhoon het volgende uit:

  • Uitgebreide verkenning om interne systemen in kaart te brengen
  • Laterale beweging over netwerken
  • Gegevensdiefstal via e-mails, bestandsdeling en cloudopslag
  • Blijvende toegang met behulp van webshells en OAuth-toepassingen

Niemand is veilig zonder sterke verdediging

Microsoft waarschuwt dat zelfs organisaties die geen directe doelwitten zijn, collateral damage kunnen worden via hun IT-providers. Als uw bedrijf afhankelijk is van gedeelde IT-services, zwak beheer van inloggegevens of verouderde software, bent u mogelijk al kwetsbaar.

Historisch gezien heeft Silk Typhoon succesvol inbreuk gemaakt op een breed scala aan producten, waaronder Microsoft Exchange-servers, VPN-apparaten en firewalls. De groep zat achter de inbreuk op het Amerikaanse ministerie van Financiën, waarbij het kantoren bespioneerde die buitenlandse investeringen en sancties afhandelden, en kwetsbaarheden in software als BeyondTrust en PostgreSQL uitbuitte.

Geavanceerde tactieken gebruikt door Silk Typhoon

De recente campagnes van Silk Typhoon benadrukken hun groeiende verfijning. Volgens Microsoft is de groep waargenomen met behulp van:

  • Aanvallen met wachtwoordspray en verkenning om hergebruikte bedrijfswachtwoorden te ontdekken die in openbare opslagplaatsen zoals GitHub zijn gevonden
  • Gecompromitteerde OAuth-toepassingen met machtigingen op hoog niveau om e-mails, OneDrive-bestanden en SharePoint-gegevens te stelen via MSGraph
  • Compromissen met betrekking tot multi-tenant-applicaties, waardoor ze kunnen switchen tussen cloudomgevingen en toegang kunnen krijgen tot gevoelige bronnen in verschillende organisaties
  • Misbruik van Exchange Web Services (EWS) API om e-mailcommunicatie te exfiltreren

Wat deze aanvallen extra gevaarlijk maakt, is de mogelijkheid van Silk Typhoon om applicaties te kapen die al toestemming van de gebruiker hebben gekregen. Hierdoor wordt hun schadelijke activiteit niet meer te onderscheiden van de normale bedrijfsvoering.

De groeiende dreiging van een zijdetyfoon

Microsoft beschrijft Silk Typhoon als een van de meest uitgebreide Chinese dreigingsgroepen ter wereld. Met sterke steun en de middelen om zero-day-kwetsbaarheden snel te exploiteren, vormen ze een aanzienlijke bedreiging voor sectoren, waaronder staats- en lokale overheden, financiële instellingen en IT-dienstverleners.

Hoe u uw organisatie kunt beschermen

In het licht van deze ontwikkelingen spoort Microsoft organisaties aan om:

  • Controleer API-sleutels en OAuth-toepassingen om te garanderen dat er geen verdachte of overbevoorrechte toegang is
  • Zorg voor een strikte hygiëne van uw inloggegevens, inclusief regelmatige wachtwoordwijzigingen en multifactorauthenticatie (MFA)
  • Patch alle systemen onmiddellijk, vooral software die vaak het doelwit is van geavanceerde persistente bedreigingen (APT's)
  • Let op ongebruikelijke toegangspatronen, met name met betrekking tot serviceaccounts en cloudtoepassingen

    • Het targeten van IT-toeleveringsketens bewijst dat cyberespionage niet langer alleen een risico is voor vooraanstaande overheidsinstanties. Tegenwoordig moet elke organisatie die afhankelijk is van gedeelde infrastructuur of externe providers zichzelf als een potentieel doelwit beschouwen.

    Cybersecurity-waakzaamheid is niet langer optioneel: het is de enige verdediging tegen tegenstanders zoals Silk Typhoon, die altijd één stap verwijderd zijn van uw meest gevoelige gegevens.

    Bezig met laden...