Multilicenčná zľavová ponuka
Počítačová bezpečnosť Hackeri podporovaní Čínou za prielomom americkej štátnej...

Hackeri podporovaní Čínou za prielomom americkej štátnej pokladnice sa teraz zameriavajú na globálne dodávateľské reťazce IT

Do roku Mura v roku Počítačová bezpečnosť
Preložiť do:
Slovenčina

Nebezpečná nová kapitola sa otvorila v prebiehajúcich kyberšpionážnych kampaniach, ktoré vykonáva Silk Typhoon, hackerská skupina podporovaná čínskou vládou, ktorá bola nedávno spojená s porušením amerického ministerstva financií. Tím Microsoftu pre spravodajstvo o hrozbách vydal rázne varovanie, ktoré odhaľuje, že Silk Typhoon teraz aktívne využíva globálny dodávateľský reťazec IT na infiltráciu podnikov, sledovanie a krádež citlivých údajov.

Táto posledná aktivita predstavuje znepokojivý posun v taktike Silk Typhoon. Namiesto priameho útoku na dobre chránené cloudové platformy skupina obracia svoju pozornosť na poskytovateľov IT služieb, firmy na vzdialené monitorovanie a správu a poskytovateľov riadených služieb (MSP) – teda práve na spoločnosti zodpovedné za zabezpečenie a údržbu podnikových sietí na celom svete.

Ako sa hodvábny tajfún infiltruje cez dodávateľský reťazec IT

Výskumníci Microsoftu odhalili, že Silk Typhoon používa ukradnuté API kľúče, kompromitované prihlasovacie údaje a privilegovaný prístup k tichým narušeniam IT spoločností. Keď sa útočníci dostanú dovnútra, môžu rozšíriť svoj dosah do zákazníckych prostredí, čím ohrozia nespočetné množstvo organizácií.

Tieto útoky sú viac než len oportunistické . Silk Typhoon demonštruje porozumenie hybridným prostrediam na vysokej úrovni a šikovne ovláda lokálnu infraštruktúru aj cloudové služby. Microsoft si všimol, že skupina využíva legitímne nástroje ako Entra Connect (predtým AADConnect) na eskaláciu privilégií a udržiavanie dlhodobého prístupu.

Prostredníctvom týchto vstupných bodov Silk Typhoon vykonáva:

  • Rozsiahly prieskum na zmapovanie vnútorných systémov
  • Bočný pohyb cez siete
  • Exfiltrácia údajov z e-mailov, zdieľania súborov a cloudového úložiska
  • Trvalý prístup pomocou webových shellov a aplikácií OAuth

Bez silnej obrany nie je nikto v bezpečí

Microsoft varuje, že dokonca aj organizácie, ktoré nie sú priamym cieľom, by sa mohli stať vedľajšími škodami prostredníctvom svojich poskytovateľov IT. Ak sa vaša firma spolieha na zdieľané IT služby, slabú správu poverení alebo zastaraný softvér, môžete byť už zraniteľní.

Historicky Silk Typhoon úspešne prelomil širokú škálu produktov vrátane serverov Microsoft Exchange, zariadení VPN a brán firewall. Skupina stála za porušením ministerstva financií USA, kde špehovala úrady, ktoré sa zaoberali zahraničnými investíciami a sankciami, pričom využívala zraniteľné miesta v softvéri ako BeyondTrust a PostgreSQL.

Pokročilá taktika používaná Silk Typhoon

Nedávne kampane Silk Typhoon zdôrazňujú ich rastúcu sofistikovanosť. Podľa spoločnosti Microsoft bola skupina pozorovaná pomocou:

  • Útoky na sprejovanie hesiel a prieskum na odhalenie opätovne použitých firemných hesiel nájdených vo verejných úložiskách, ako je GitHub
  • Kompromitované aplikácie OAuth s oprávneniami na vysokej úrovni kradnúť e-maily, súbory OneDrive a údaje SharePointu cez MSGraph
  • Kompromisy aplikácií s viacerými nájomcami, čo im umožňuje otáčať sa v cloudových prostrediach a pristupovať k citlivým zdrojom v rôznych organizáciách
  • Zneužívanie rozhrania Exchange Web Services (EWS) API na exfiltráciu e-mailovej komunikácie

Čo robí tieto útoky obzvlášť nebezpečnými, je schopnosť Silk Typhoon uniesť aplikácie, ktoré už majú súhlas používateľa, čím sa ich zákerná aktivita prelína s bežnými operáciami.

Rastúca hrozba hodvábneho tajfúnu

Microsoft opisuje Silk Typhoon ako jednu z najrozšírenejších čínskych skupín hrozieb na svete. So silnou podporou a zdrojmi na rýchle využitie zero-day zraniteľností predstavujú významnú hrozbu naprieč sektormi, vrátane štátnych a miestnych samospráv, finančných inštitúcií a poskytovateľov IT služieb.

Ako chrániť svoju organizáciu

Vo svetle tohto vývoja spoločnosť Microsoft vyzýva organizácie, aby:

  • Auditujte kľúče API a aplikácie OAuth, aby ste nezaistili žiadny podozrivý alebo príliš privilegovaný prístup
  • Presadzujte prísnu hygienu poverení vrátane pravidelných zmien hesiel a viacfaktorového overovania (MFA)
  • Okamžite opravte všetky systémy, najmä softvér, na ktorý sa bežne zameriavajú pokročilé perzistentné hrozby (APT)
  • Monitorujte neobvyklé vzory prístupu, najmä pokiaľ ide o účty služieb a cloudové aplikácie

    • Zameranie na dodávateľské reťazce IT dokazuje, že kyberšpionáž už nie je rizikom len pre vysoko postavené vládne subjekty. Dnes sa každá organizácia, ktorá je závislá od zdieľanej infraštruktúry alebo poskytovateľov tretích strán, musí považovať za potenciálny cieľ.

    Ostražitosť v oblasti kybernetickej bezpečnosti už nie je voliteľná – je to jediná obrana proti protivníkom, ako je Silk Typhoon, ktorí sú vždy jeden krok od vašich najcitlivejších údajov.

    Načítava...