Popust za več licenc
Računalniška varnost Hekerji, ki jih podpira Kitajska, stojijo za vdorom v...

Hekerji, ki jih podpira Kitajska, stojijo za vdorom v finančno ministrstvo ZDA, zdaj ciljajo na globalne dobavne verige IT

Do leta Mura leta Računalniška varnost
Prevedi v:
Slovenščina

Odprlo se je nevarno novo poglavje v tekočih kampanjah kibernetskega vohunjenja, ki jih izvaja Silk Typhoon, hekerska skupina s podporo kitajske vlade, ki je bila nedavno povezana s kršitvijo ministrstva za finance ZDA. Microsoftova ekipa za obveščanje o grožnjah je izdala ostro opozorilo in razkrila, da Silk Typhoon zdaj aktivno izkorišča globalno dobavno verigo IT za infiltracijo v podjetja, izvajanje nadzora in krajo občutljivih podatkov.

Ta zadnja dejavnost označuje zaskrbljujoč premik v taktiki Silk Typhoon. Namesto da neposredno napada dobro zaščitene platforme v oblaku, skupina svojo pozornost usmerja na ponudnike IT storitev, podjetja za daljinsko spremljanje in upravljanje ter ponudnike upravljanih storitev (MSP) – podjetja, ki so odgovorna za varovanje in vzdrževanje korporativnih omrežij po vsem svetu.

Kako se Silk Typhoon infiltrira skozi dobavno verigo IT

Microsoftovi raziskovalci so odkrili, da Silk Typhoon uporablja ukradene ključe API, ogrožene poverilnice in privilegiran dostop za tiho vdor v podjetja IT. Ko so notri, lahko napadalci razširijo svoj doseg v nadaljnja okolja strank, s čimer ogrozijo nešteto organizacij.

Ti napadi so več kot le oportunistični . Silk Typhoon dokazuje visoko raven razumevanja hibridnih okolij in spretno krmari tako po lokalni infrastrukturi kot po storitvah v oblaku. Microsoft je opazil, da skupina izkorišča zakonita orodja, kot je Entra Connect (prej AADConnect), za povečanje privilegijev in ohranjanje dolgoročnega dostopa.

Prek teh vstopnih točk Silk Typhoon izvaja:

  • Obsežno izvidovanje za načrtovanje notranjih sistemov
  • Bočno gibanje po omrežjih
  • Izločanje podatkov iz e-pošte, skupne rabe datotek in shrambe v oblaku
  • Trajni dostop z uporabo spletnih lupin in aplikacij OAuth

Nihče ni varen brez močne obrambe

Microsoft opozarja, da lahko celo organizacije, ki niso neposredne tarče, postanejo kolateralna škoda prek svojih ponudnikov IT. Če se vaše podjetje zanaša na skupne storitve IT, šibko upravljanje poverilnic ali zastarelo programsko opremo, ste morda že ranljivi.

V preteklosti je Silk Typhoon uspešno vdrl v široko paleto izdelkov, vključno s strežniki Microsoft Exchange, napravami VPN in požarnimi zidovi. Skupina je stala za kršitvijo ministrstva za finance ZDA, kjer je vohunila za uradi, ki so obravnavali tuje naložbe in sankcije, pri čemer je izkoriščala ranljivosti v programski opremi, kot sta BeyondTrust in PostgreSQL.

Napredne taktike, ki jih uporablja Silk Typhoon

Nedavne kampanje Silk Typhoon poudarjajo njihovo naraščajočo prefinjenost. Po navedbah Microsofta je bila skupina opažena z uporabo:

  • Napadi z razprševanjem gesel in izvidovanje za odkrivanje ponovno uporabljenih gesel podjetij, najdenih v javnih repozitorijih, kot je GitHub
  • Ogrožene aplikacije OAuth z dovoljenji na visoki ravni za krajo e-pošte, datotek OneDrive in podatkov SharePoint prek MSGraph
  • Kompromisi aplikacij z več najemniki, ki jim omogočajo, da se vrtijo v oblačnih okoljih in dostopajo do občutljivih virov v različnih organizacijah
  • Zloraba API-ja za spletne storitve Exchange (EWS) za izločanje e-poštnih komunikacij

Ti napadi so še posebej nevarni zaradi zmožnosti Silk Typhoon, da ugrabi aplikacije, ki že imajo soglasje uporabnikov, zaradi česar se njihova zlonamerna dejavnost zlije z običajnimi operacijami.

Naraščajoča grožnja svilenega tajfuna

Microsoft Silk Typhoon opisuje kot eno najobsežnejših kitajskih groženjskih skupin na svetu. Z močno podporo in viri za hitro izkoriščanje ranljivosti ničelnega dne predstavljajo veliko grožnjo v različnih sektorjih, vključno z državnimi in lokalnimi vladami, finančnimi institucijami in ponudniki storitev IT.

Kako zaščititi svojo organizacijo

V luči teh dogodkov Microsoft poziva organizacije, naj:

  • Nadzirajte ključe API in aplikacije OAuth, da preprečite sumljiv ali preveč privilegiran dostop
  • Uveljavite močno higieno poverilnic, vključno z rednimi spremembami gesel in večfaktorsko avtentikacijo (MFA)
  • Takoj popravite vse sisteme, zlasti programsko opremo, ki je običajno tarča naprednih trajnih groženj (APT).
  • Spremljajte neobičajne vzorce dostopa, zlasti v zvezi z računi storitev in aplikacijami v oblaku

    • Usmerjanje v dobavne verige IT dokazuje, da kibernetsko vohunjenje ni več samo tveganje za pomembne vladne subjekte. Danes se mora vsaka organizacija, ki je odvisna od skupne infrastrukture ali tretjih ponudnikov, obravnavati kot potencialna tarča.

    Pazljivost kibernetske varnosti ni več neobvezna – je edina obramba pred nasprotniki, kot je Silk Typhoon, ki so vedno en korak stran od vaših najbolj občutljivih podatkov.

    Nalaganje...