Cotație de reducere pentru licențe multiple
Securitatea computerelor Hackerii susținuți de China din spatele încălcării...

Hackerii susținuți de China din spatele încălcării Trezoreriei SUA vizează acum lanțurile globale de aprovizionare IT

Până în Mura în Securitatea computerelor
Tradu in:
Română

Un nou capitol periculos s-a deschis în campaniile de spionaj cibernetic în desfășurare desfășurate de Silk Typhoon, un grup de hacking susținut de guvernul chinez, legat recent de încălcarea Departamentului Trezoreriei SUA. Echipa Microsoft de informații despre amenințări a emis un avertisment dur, dezvăluind că Silk Typhoon exploatează acum activ lanțul global de aprovizionare IT pentru a se infiltra în afaceri, a efectua supraveghere și a fura date sensibile.

Această ultimă activitate marchează o schimbare îngrijorătoare în tactica lui Silk Typhoon. În loc să atace în mod direct platformele cloud bine apărate, grupul își îndreaptă atenția către furnizorii de servicii IT, firmele de monitorizare și management de la distanță și furnizorii de servicii gestionate (MSP) - tocmai companiile responsabile pentru securizarea și întreținerea rețelelor corporative din întreaga lume.

Cum se infiltrează Silk Typhoon prin lanțul de aprovizionare IT

Cercetătorii Microsoft au descoperit că Silk Typhoon folosește chei API furate, acreditări compromise și acces privilegiat pentru a încălca în tăcere companiile IT. Odată înăuntru, atacatorii își pot extinde raza de acțiune în mediile din aval ale clienților, punând nenumărate organizații în pericol.

Aceste atacuri sunt mai mult decât oportuniste . Silk Typhoon demonstrează o înțelegere la nivel înalt a mediilor hibride, navigând cu pricepere atât în infrastructura locală, cât și în serviciile cloud. Microsoft a observat că grupul exploatează instrumente legitime precum Entra Connect (fostă AADConnect) pentru a escalada privilegiile și a menține accesul pe termen lung.

Prin aceste puncte de intrare, Silk Typhoon conduce:

  • Recunoaștere extinsă pentru a mapa sistemele interne
  • Mișcare laterală între rețele
  • Exfiltrarea datelor din e-mailuri, partajări de fișiere și stocare în cloud
  • Acces persistent folosind shell-uri web și aplicații OAuth

Nimeni nu este în siguranță fără apărări puternice

Microsoft avertizează că chiar și organizațiile care nu sunt ținte directe ar putea deveni daune colaterale prin furnizorii lor IT. Dacă afacerea dvs. se bazează pe servicii IT partajate, management slab al acreditărilor sau software învechit, este posibil să fiți deja vulnerabil.

Din punct de vedere istoric, Silk Typhoon a încălcat cu succes o gamă largă de produse, inclusiv servere Microsoft Exchange, dispozitive VPN și firewall-uri. Grupul s-a aflat în spatele încălcării Departamentului de Trezorerie al SUA, unde a spionat birourile care gestionau investiții străine și sancțiuni, exploatând vulnerabilități în software precum BeyondTrust și PostgreSQL.

Tactici avansate utilizate de Silk Typhoon

Campaniile recente ale Silk Typhoon evidențiază sofisticarea lor tot mai mare. Potrivit Microsoft, grupul a fost observat folosind:

  • Atacurile de pulverizare a parolelor și recunoașterea pentru a descoperi parolele corporative reutilizate găsite în depozitele publice precum GitHub
  • Aplicații OAuth compromise cu permisiuni la nivel înalt pentru a fura e-mailuri, fișiere OneDrive și date SharePoint prin MSGraph
  • Compromisurile aplicațiilor multi-locatari, permițându-le să pivoteze în mediile cloud și să acceseze resurse sensibile din diferite organizații
  • Abuzul API-ului Exchange Web Services (EWS) pentru a exfiltra comunicațiile prin e-mail

Ceea ce face ca aceste atacuri să fie deosebit de periculoase este capacitatea Silk Typhoon de a deturna aplicații care au deja consimțământul utilizatorului, făcând ca activitatea lor rău intenționată să se integreze cu operațiunile normale.

Amenințarea în creștere a taifunului de mătase

Microsoft descrie Silk Typhoon drept unul dintre cele mai extinse grupuri de amenințări chineze din lume. Cu sprijin puternic și resurse pentru exploatarea rapidă a vulnerabilităților zero-day, acestea reprezintă o amenințare semnificativă în toate sectoarele, inclusiv guvernele de stat și locale, instituțiile financiare și furnizorii de servicii IT.

Cum să vă protejați organizația

În lumina acestor evoluții, Microsoft îndeamnă organizațiile să:

  • Auditați cheile API și aplicațiile OAuth pentru a vă asigura că nu există acces suspect sau prea privilegiat
  • Aplicați o igienă puternică a acreditărilor, inclusiv modificări regulate ale parolei și autentificare cu mai mulți factori (MFA)
  • Corectați prompt toate sistemele, în special software-ul vizat în mod obișnuit de amenințări persistente avansate (APT)
  • Monitorizați modelele de acces neobișnuite, în special care implică conturile de serviciu și aplicațiile cloud

    • Dirijarea lanțurilor de aprovizionare IT demonstrează că spionajul cibernetic nu mai este doar un risc pentru entitățile guvernamentale de profil înalt. Astăzi, fiecare organizație care depinde de infrastructura partajată sau de furnizori terți trebuie să se trateze ca pe o potențială țintă.

    Vigilența securității cibernetice nu mai este opțională – este singura apărare împotriva adversarilor precum Silk Typhoon, care sunt întotdeauna la un pas de datele tale cele mai sensibile.

    Se încarcă...