Попуст за више лиценци
Цомпутер Сецурити Хакери које подржава Кина иза кршења трезора САД сада...

Хакери које подржава Кина иза кршења трезора САД сада циљају на глобалне ИТ ланце снабдевања

До Mura. у Цомпутер Сецурити
Преведи на:
Српски

Отворено је опасно ново поглавље у текућим кампањама сајбер шпијунаже које спроводи Силк Типхоон, хакерска група коју подржава кинеска влада и која је недавно повезана са провалом америчког Министарства финансија. Мицрософтов тим за обавештавање претњи издао је оштро упозорење, откривајући да Силк Типхоон сада активно експлоатише глобални ИТ ланац снабдевања да би се инфилтрирао у предузећа, вршио надзор и крао осетљиве податке.

Ова најновија активност означава забрињавајућу промену у тактици Силк Типхоон-а. Уместо да директно напада добро заштићене платформе у облаку, група своју пажњу усмерава на добављаче ИТ услуга, компаније за даљинско надгледање и управљање, и добављаче управљаних услуга (МСП) – управо компаније одговорне за обезбеђење и одржавање корпоративних мрежа широм света.

Како се Силк Типхоон инфилтрира кроз ИТ ланац снабдевања

Мицрософтови истраживачи су открили да Силк Типхоон користи украдене АПИ кључеве, компромитоване акредитиве и привилеговани приступ ИТ компанијама које тихо провале. Када уђу, нападачи могу да прошире свој домет у окружења корисника који се налазе на нижем нивоу, доводећи безброј организација у опасност.

Ови напади су више од опортунистичких . Силк Типхоон демонстрира разумевање на високом нивоу хибридних окружења, вешто навигирајући како локалном инфраструктуром тако и услугама у облаку. Мицрософт је приметио да група користи легитимне алате као што је Ентра Цоннецт (раније ААДЦоннецт) за повећање привилегија и одржавање дугорочног приступа.

Преко ових улазних тачака, Силк Типхоон спроводи:

  • Опсежно извиђање ради мапирања унутрашњих система
  • Бочно кретање кроз мреже
  • Ексфилтрација података из е-поште, дељења датотека и складиштења у облаку
  • Трајни приступ помоћу веб шкољки и ОАутх апликација

Нико није сигуран без јаке одбране

Мицрософт упозорава да чак и организације које нису директне мете могу постати колатерална штета преко својих ИТ провајдера. Ако се ваше пословање ослања на заједничке ИТ услуге, слабо управљање акредитивима или застарели софтвер, можда сте већ рањиви.

Историјски гледано, Силк Типхоон је успешно провалио широк спектар производа, укључујући Мицрософт Екцханге сервере, ВПН уређаје и заштитне зидове. Група је стајала иза провале америчког Министарства финансија, где је шпијунирала канцеларије које се баве страним инвестицијама и санкцијама, искоришћавајући рањивости у софтверу као што су БеиондТруст и ПостгреСКЛ.

Напредне тактике које користи Силк Типхоон

Недавне кампање Силк Типхоон-а истичу њихову растућу софистицираност. Према Мицрософт-у, група је посматрана користећи:

  • Напади спрејом лозинком и извиђање како би се откриле поново коришћене корпоративне лозинке пронађене у јавним репозиторијумима као што је ГитХуб
  • Компромитоване ОАутх апликације са дозволама високог нивоа за крађу е-поште, ОнеДриве датотека и СхареПоинт података преко МСГрапх-а
  • Компромиси апликација за више закупаца, омогућавајући им да се окрећу кроз окружења у облаку и приступају осетљивим ресурсима у различитим организацијама
  • Злоупотреба АПИ-ја Екцханге Веб Сервицес (ЕВС) ради ексфилтрирања комуникације путем е-поште

Оно што ове нападе чини посебно опасним је способност Силк Типхоон-а да отме апликације које већ имају сагласност корисника, чиме се њихова злонамерна активност уклапа у нормалне операције.

Растућа опасност од свиленог тајфуна

Мајкрософт описује Силк Типхоон као једну од највећих кинеских претњи група на свету. Уз снажну подршку и ресурсе за брзо искоришћавање рањивости нултог дана, оне представљају значајну претњу у свим секторима, укључујући државне и локалне власти, финансијске институције и пружаоце ИТ услуга.

Како заштитити своју организацију

У светлу ових дешавања, Мицрософт позива организације да:

  • Проверавајте АПИ кључеве и ОАутх апликације како бисте осигурали да нема сумњивог или претерано привилегованог приступа
  • Спроведите јаку хигијену акредитива, укључујући редовне промене лозинке и вишефакторску аутентификацију (МФА)
  • Одмах закрпите све системе, посебно софтвер који је обично мета напредних трајних претњи (АПТ)
  • Надгледајте необичне обрасце приступа, посебно који укључују услужне налоге и апликације у облаку

    • Циљање ИТ ланаца снабдевања доказује да сајбер шпијунажа више није само ризик за високопрофилне владине субјекте. Данас свака организација која зависи од заједничке инфраструктуре или провајдера трећих страна мора себе да третира као потенцијалну мету.

    Будност сајбер безбедности више није опциона – то је једина одбрана од противника као што је Силк Типхоон који су увек на корак од ваших најосетљивијих података.

    Учитавање...