Скидка на мультилицензию
Компьютерная безопасность Хакеры, поддерживаемые Китаем и стоящие за взломом...

Хакеры, поддерживаемые Китаем и стоящие за взломом казначейства США, теперь нацелились на глобальные цепочки поставок ИТ-услуг

К Mura году в Компьютерная безопасность году
Перевести на:
Русский

Новая опасная глава открылась в продолжающихся кампаниях по кибершпионажу, проводимых Silk Typhoon, поддерживаемой правительством Китая хакерской группой, недавно связанной с утечкой данных Министерства финансов США. Группа по анализу угроз Microsoft выступила с суровым предупреждением, в котором говорится, что Silk Typhoon теперь активно использует глобальную цепочку поставок ИТ для проникновения в бизнес, ведения слежки и кражи конфиденциальных данных.

Эта последняя активность знаменует собой тревожный сдвиг в тактике Silk Typhoon. Вместо того чтобы напрямую атаковать хорошо защищенные облачные платформы, группа переключает свое внимание на поставщиков ИТ-услуг, компании удаленного мониторинга и управления, а также поставщиков управляемых услуг (MSP) — те самые компании, которые отвечают за безопасность и обслуживание корпоративных сетей по всему миру.

Как Silk Typhoon проникает через цепочку поставок ИТ

Исследователи Microsoft обнаружили, что Silk Typhoon использует украденные ключи API, скомпрометированные учетные данные и привилегированный доступ для скрытого взлома ИТ-компаний. Оказавшись внутри, злоумышленники могут расширить свое влияние на клиентские среды ниже по течению, подвергая риску бесчисленные организации.

Эти атаки не просто оппортунистические . Silk Typhoon демонстрирует высокий уровень понимания гибридных сред, умело ориентируясь как в локальной инфраструктуре, так и в облачных сервисах. Microsoft заметила, что группа использует легитимные инструменты, такие как Entra Connect (ранее AADConnect), для повышения привилегий и сохранения долгосрочного доступа.

Через эти точки входа Silk Typhoon осуществляет:

  • Обширная разведка для составления карты внутренних систем
  • Горизонтальное перемещение по сетям
  • Кража данных из электронной почты, файловых хранилищ и облачных хранилищ
  • Постоянный доступ с использованием веб-оболочек и приложений OAuth

Никто не в безопасности без надежной защиты

Microsoft предупреждает, что даже организации, которые не являются прямыми целями, могут стать сопутствующим ущербом через своих поставщиков ИТ. Если ваш бизнес полагается на общие ИТ-сервисы, слабое управление учетными данными или устаревшее программное обеспечение, вы уже можете быть уязвимы.

Исторически Silk Typhoon успешно взламывал широкий спектр продуктов, включая серверы Microsoft Exchange, устройства VPN и брандмауэры. Группа стояла за взломом Министерства финансов США, где она шпионила за офисами, занимающимися иностранными инвестициями и санкциями, эксплуатируя уязвимости в программном обеспечении, таком как BeyondTrust и PostgreSQL.

Продвинутая тактика, используемая Silk Typhoon

Недавние кампании Silk Typhoon подчеркивают их растущую изощренность. По данным Microsoft, группа была замечена с использованием:

  • Атаки методом распыления паролей и разведка для выявления повторно используемых корпоративных паролей, найденных в публичных репозиториях, таких как GitHub
  • Скомпрометированные приложения OAuth с высокоуровневыми разрешениями для кражи электронных писем, файлов OneDrive и данных SharePoint через MSGraph
  • Компромиссы многопользовательских приложений, позволяющие им перемещаться между облачными средами и получать доступ к конфиденциальным ресурсам в разных организациях
  • Злоупотребление API Exchange Web Services (EWS) для кражи сообщений электронной почты

Особенно опасными эти атаки делает способность Silk Typhoon захватывать приложения, на которые уже получено согласие пользователя, что позволяет скрыть их вредоносную активность от обычных операций.

Растущая угроза шелкового тайфуна

Microsoft описывает Silk Typhoon как одну из самых обширных китайских группировок угроз в мире. Имея мощную поддержку и ресурсы для быстрого использования уязвимостей нулевого дня, они представляют значительную угрозу для различных секторов, включая государственные и местные органы власти, финансовые учреждения и поставщиков ИТ-услуг.

Как защитить свою организацию

В свете этих событий Microsoft настоятельно рекомендует организациям:

  • Аудит ключей API и приложений OAuth для исключения подозрительного или чрезмерно привилегированного доступа.
  • Обеспечьте строгую гигиену учетных данных, включая регулярную смену паролей и многофакторную аутентификацию (MFA)
  • Незамедлительно устанавливайте исправления на все системы, особенно на программное обеспечение, которое часто становится целью современных постоянных угроз (APT).
  • Отслеживайте необычные схемы доступа, особенно связанные с учетными записями служб и облачными приложениями.

    • Нацеливание на цепочки поставок ИТ доказывает, что кибершпионаж больше не является риском только для крупных государственных структур. Сегодня каждая организация, которая зависит от общей инфраструктуры или сторонних поставщиков, должна рассматривать себя как потенциальную цель.

    Бдительность в сфере кибербезопасности больше не является необязательной — это единственная защита от таких злоумышленников, как Silk Typhoon, которые всегда находятся в шаге от ваших самых конфиденциальных данных.

    Загрузка...