Kuota e zbritjes me shumë licencë
Siguria kompjuterike Hakerët e mbështetur nga Kina që qëndrojnë pas shkeljes...

Hakerët e mbështetur nga Kina që qëndrojnë pas shkeljes së thesarit të SHBA-së tani synojnë zinxhirët globalë të furnizimit të TI-së

Nga MuraSiguria kompjuterike
Përkthe në:
Shqip

Një kapitull i ri i rrezikshëm është hapur në fushatat e vazhdueshme të spiunazhit kibernetik të kryera nga Silk Typhoon, një grup hakerash i mbështetur nga qeveria kineze i lidhur së fundmi me shkeljen e Departamentit të Thesarit të SHBA. Ekipi i inteligjencës së kërcënimeve të Microsoft-it ka lëshuar një paralajmërim të ashpër, duke zbuluar se Silk Typhoon tani po shfrytëzon në mënyrë aktive zinxhirin e furnizimit global të IT për të depërtuar në biznese, për të kryer mbikëqyrje dhe për të vjedhur të dhëna të ndjeshme.

Ky aktivitet i fundit shënon një ndryshim shqetësues në taktikat e Silk Typhoon. Në vend që të sulmojë drejtpërdrejt platformat cloud të mbrojtura mirë, grupi po e kthen vëmendjen te ofruesit e shërbimeve të TI-së, firmat e monitorimit dhe menaxhimit në distancë, si dhe ofruesit e shërbimeve të menaxhuara (MSP) - pikërisht kompanitë përgjegjëse për sigurimin dhe mirëmbajtjen e rrjeteve të korporatave në mbarë botën.

Si depërton tajfuni i mëndafshit përmes zinxhirit të furnizimit të IT

Studiuesit e Microsoft zbuluan se Silk Typhoon po përdor çelësa të vjedhur API, kredenciale të komprometuara dhe akses të privilegjuar për të shkelur në heshtje kompanitë e IT. Pasi brenda, sulmuesit mund të zgjerojnë shtrirjen e tyre në mjediset e klientëve në rrjedhën e poshtme, duke vënë në rrezik organizata të panumërta.

Këto sulme janë më shumë se thjesht oportuniste . Silk Typhoon demonstron një kuptim të nivelit të lartë të mjediseve hibride, duke lundruar me mjeshtëri si në infrastrukturën brenda ambienteve ashtu edhe në shërbimet cloud. Microsoft vëzhgoi grupin duke shfrytëzuar mjete legjitime si Entra Connect (dikur AADConnect) për të përshkallëzuar privilegjet dhe për të ruajtur aksesin afatgjatë.

Nëpërmjet këtyre pikave hyrëse, Silk Typhoon kryen:

  • Zbulim i gjerë për të përcaktuar sistemet e brendshme
  • Lëvizja anësore nëpër rrjete
  • Eksfiltrimi i të dhënave nga emailet, ndarjet e skedarëve dhe ruajtja në renë kompjuterike
  • Qasje e vazhdueshme duke përdorur predha në internet dhe aplikacione OAuth

Askush nuk është i sigurt pa mbrojtje të forta

Microsoft paralajmëron se edhe organizatat që nuk janë objektiva të drejtpërdrejta mund të bëhen dëm kolateral përmes ofruesve të tyre të IT. Nëse biznesi juaj mbështetet në shërbimet e përbashkëta të TI-së, menaxhim të dobët të kredencialeve ose softuer të vjetëruar, ju mund të jeni tashmë të prekshëm.

Historikisht, Silk Typhoon ka shkelur me sukses një gamë të gjerë produktesh, duke përfshirë serverët e Microsoft Exchange, pajisjet VPN dhe muret e zjarrit. Grupi qëndronte pas shkeljes së Departamentit të Thesarit të SHBA-së, ku spiunonte zyrat që trajtonin investimet e huaja dhe sanksionet, duke shfrytëzuar dobësitë në softuer si BeyondTrust dhe PostgreSQL.

Taktika të avancuara të përdorura nga Silk Typhoon

Fushatat e fundit të Silk Typhoon theksojnë sofistikimin e tyre në rritje. Sipas Microsoft, grupi është vëzhguar duke përdorur:

  • Sulmet me spërkatje të fjalëkalimeve dhe zbulimi për të zbuluar fjalëkalime të ripërdorura të korporatës që gjenden në depo publike si GitHub
  • Aplikacionet e komprometuara OAuth me leje të nivelit të lartë për të vjedhur email, skedarë OneDrive dhe të dhëna të SharePoint nëpërmjet MSGraph
  • Kompromiset e aplikacioneve me shumë qiramarrës, duke i lejuar ata të lëvizin nëpër mjedise cloud dhe të kenë akses në burime të ndjeshme në organizata të ndryshme
  • Abuzimi i API-ve të Shërbimeve të Uebit të Exchange (EWS) për të eksfiltuar komunikimet me email

Ajo që i bën këto sulme veçanërisht të rrezikshme është aftësia e Silk Typhoon për të rrëmbyer aplikacionet që tashmë kanë pëlqimin e përdoruesit, duke bërë që aktiviteti i tyre keqdashës të përzihet me operacionet normale.

Kërcënimi në rritje i tajfunit të mëndafshit

Microsoft e përshkruan Silk Typhoon si një nga grupet më të përhapura të kërcënimit kinez në botë. Me mbështetje të fortë dhe burime për të shfrytëzuar shpejt dobësitë e ditës zero, ato përbëjnë një kërcënim të rëndësishëm në të gjithë sektorët, duke përfshirë qeveritë shtetërore dhe vendore, institucionet financiare dhe ofruesit e shërbimeve të TI-së.

Si të mbroni organizatën tuaj

Në dritën e këtyre zhvillimeve, Microsoft u kërkon organizatave që:

  • Kontrolloni çelësat API dhe aplikacionet OAuth për të siguruar asnjë qasje të dyshimtë ose të privilegjuar
  • Zbatoni një higjienë të fortë kredenciale, duke përfshirë ndryshimet e rregullta të fjalëkalimit dhe vërtetimin me shumë faktorë (MFA)
  • Rregulloni menjëherë të gjitha sistemet, veçanërisht softuerin që zakonisht synohet nga kërcënimet e përparuara të vazhdueshme (APT)
  • Monitoroni për modele të pazakonta aksesi, veçanërisht që përfshijnë llogaritë e shërbimit dhe aplikacionet cloud

    • Synimi i zinxhirëve të furnizimit të TI-së dëshmon se spiunazhi kibernetik nuk është më vetëm një rrezik për entitetet qeveritare të profilit të lartë. Sot, çdo organizatë që varet nga infrastruktura e përbashkët ose ofruesit e palëve të treta duhet ta trajtojë veten si një objektiv potencial.

    Vigjilenca e sigurisë kibernetike nuk është më opsionale - është e vetmja mbrojtje kundër kundërshtarëve si Silk Typhoon, të cilët janë gjithmonë një hap larg të dhënave tuaja më të ndjeshme.

    Po ngarkohet...