Oferta rabatowa na wiele licencji
Bezpieczeństwo komputerowe Hakerzy wspierani przez Chiny, stojący za włamaniem do...

Hakerzy wspierani przez Chiny, stojący za włamaniem do amerykańskiego skarbu, teraz atakują globalne łańcuchy dostaw IT

Do Mura w Bezpieczeństwo komputerowe
Przetłumacz na:
Polski

Niebezpieczny nowy rozdział rozpoczął się w trwających kampaniach cybernetycznego szpiegostwa prowadzonych przez Silk Typhoon, grupę hakerską wspieraną przez chiński rząd, niedawno powiązaną z naruszeniem bezpieczeństwa Departamentu Skarbu USA. Zespół ds. wywiadu zagrożeń Microsoftu wydał surowe ostrzeżenie, ujawniając, że Silk Typhoon aktywnie wykorzystuje globalny łańcuch dostaw IT do infiltracji firm, prowadzenia nadzoru i kradzieży poufnych danych.

Ta ostatnia aktywność oznacza niepokojącą zmianę w taktyce Silk Typhoon. Zamiast bezpośrednio atakować dobrze bronione platformy chmurowe, grupa zwraca uwagę na dostawców usług IT, firmy zajmujące się zdalnym monitorowaniem i zarządzaniem oraz dostawców usług zarządzanych (MSP) — firmy odpowiedzialne za zabezpieczanie i utrzymywanie sieci korporacyjnych na całym świecie.

Jak Silk Typhoon przenika do łańcucha dostaw IT

Badacze Microsoftu odkryli, że Silk Typhoon używa skradzionych kluczy API, naruszonych danych uwierzytelniających i uprzywilejowanego dostępu, aby po cichu naruszać bezpieczeństwo firm IT. Po dostaniu się do środka atakujący mogą rozszerzyć swój zasięg na środowiska klientów niższego szczebla, narażając na ryzyko niezliczone organizacje.

Te ataki są czymś więcej niż tylko oportunistycznym . Silk Typhoon demonstruje wysoki poziom zrozumienia środowisk hybrydowych, umiejętnie poruszając się zarówno po infrastrukturze lokalnej, jak i usługach w chmurze. Microsoft zauważył, że grupa wykorzystuje legalne narzędzia, takie jak Entra Connect (dawniej AADConnect), aby eskalować uprawnienia i utrzymywać długoterminowy dostęp.

Poprzez te punkty wejścia Silk Typhoon przeprowadza:

  • Obszerne rozpoznanie w celu zmapowania systemów wewnętrznych
  • Ruch boczny w sieciach
  • Eksfiltracja danych z wiadomości e-mail, udostępnionych plików i pamięci masowej w chmurze
  • Trwały dostęp przy użyciu powłok internetowych i aplikacji OAuth

Nikt nie jest bezpieczny bez silnej obrony

Microsoft ostrzega, że nawet organizacje, które nie są bezpośrednimi celami, mogą stać się stratami ubocznymi za pośrednictwem swoich dostawców IT. Jeśli Twoja firma opiera się na współdzielonych usługach IT, słabym zarządzaniu uprawnieniami lub przestarzałym oprogramowaniu, możesz już być podatny.

Historycznie rzecz biorąc, Silk Typhoon skutecznie włamał się do szerokiej gamy produktów, w tym serwerów Microsoft Exchange, urządzeń VPN i zapór sieciowych. Grupa stała za włamaniem do Departamentu Skarbu USA, gdzie szpiegowała biura zajmujące się zagranicznymi inwestycjami i sankcjami, wykorzystując luki w oprogramowaniu takim jak BeyondTrust i PostgreSQL.

Zaawansowane taktyki stosowane przez Silk Typhoon

Ostatnie kampanie Silk Typhoon podkreślają ich rosnącą wyrafinowaną naturę. Według Microsoftu, grupa była obserwowana przy użyciu:

  • Ataki polegające na rozpylaniu haseł i rozpoznanie mające na celu odkrycie ponownie użytych haseł korporacyjnych znalezionych w publicznych repozytoriach, takich jak GitHub
  • Skompromitowane aplikacje OAuth z uprawnieniami wysokiego poziomu umożliwiające kradzież wiadomości e-mail, plików OneDrive i danych programu SharePoint za pośrednictwem programu MSGraph
  • Kompromisy w zakresie aplikacji wielodostępnych, umożliwiające im przechodzenie między środowiskami chmurowymi i uzyskiwanie dostępu do poufnych zasobów w różnych organizacjach
  • Nadużywanie interfejsu API Exchange Web Services (EWS) w celu wykradania wiadomości e-mail

Ataki te są szczególnie niebezpieczne, ponieważ Silk Typhoon potrafi przejmować kontrolę nad aplikacjami, które już uzyskały zgodę użytkownika, sprawiając, że ich szkodliwa aktywność miesza się ze zwykłymi operacjami.

Rosnące zagrożenie tajfunem jedwabnym

Microsoft opisuje Silk Typhoon jako jedną z najbardziej ekspansywnych chińskich grup zagrożeń na świecie. Mając silne wsparcie i zasoby do szybkiego wykorzystania luk zero-day, stanowią oni poważne zagrożenie dla wielu sektorów, w tym dla rządów stanowych i lokalnych, instytucji finansowych i dostawców usług IT.

Jak chronić swoją organizację

W świetle tych wydarzeń firma Microsoft wzywa organizacje do:

  • Przeprowadź audyt kluczy API i aplikacji OAuth, aby upewnić się, że nie występuje podejrzany lub nadmiernie uprawniony dostęp
  • Wdrażaj rygorystyczne zasady higieny uwierzytelniania, w tym regularne zmiany haseł i uwierzytelnianie wieloskładnikowe (MFA)
  • Niezwłocznie łataj wszystkie systemy, zwłaszcza oprogramowanie będące częstym celem zaawansowanych trwałych zagrożeń (APT)
  • Monitoruj nietypowe wzorce dostępu, zwłaszcza dotyczące kont usługowych i aplikacji w chmurze

    • Celowanie w łańcuchy dostaw IT dowodzi, że cybernetyczny szpiegostwo nie jest już tylko ryzykiem dla ważnych podmiotów rządowych. Obecnie każda organizacja, która jest zależna od współdzielonej infrastruktury lub zewnętrznych dostawców, musi traktować siebie jako potencjalny cel.

    Czujność w zakresie cyberbezpieczeństwa nie jest już opcjonalna — to jedyna obrona przed przeciwnikami, takimi jak Silk Typhoon, którzy zawsze są o krok od Twoich najwrażliwszych danych.

    Ładowanie...