ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ความปลอดภัยทางคอมพิวเตอร์ แฮกเกอร์ที่ได้รับการสนับสนุนจากจีนอยู่เบื้องหลังการโจรกรร...

แฮกเกอร์ที่ได้รับการสนับสนุนจากจีนอยู่เบื้องหลังการโจรกรรมข้อมูลทางการเงินของกระทรวงการคลังสหรัฐฯ กำลังมุ่งเป้าไปที่ห่วงโซ่อุปทานไอทีทั่วโลก

โดย Mura ใน ความปลอดภัยทางคอมพิวเตอร์
แปลเป็น:
ภาษาไทย

บทใหม่ที่เป็นอันตรายได้เปิดฉากขึ้นแล้วในแคมเปญการจารกรรมทางไซเบอร์ที่ดำเนินการโดย Silk Typhoon ซึ่ง เป็นกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน ซึ่งมีความเชื่อมโยงกับการโจมตีของกระทรวงการคลังสหรัฐฯ เมื่อไม่นานนี้ ทีมข่าวกรองภัยคุกคามของ Microsoft ได้ออกคำเตือนที่ชัดเจน โดยเปิดเผยว่า Silk Typhoon กำลังใช้ประโยชน์จากห่วงโซ่อุปทานไอทีระดับโลกอย่างแข็งขันเพื่อแทรกซึมธุรกิจ ดำเนินการเฝ้าติดตาม และขโมยข้อมูลที่ละเอียดอ่อน

กิจกรรมล่าสุดนี้ถือเป็นการเปลี่ยนแปลงกลยุทธ์ของ Silk Typhoon ที่น่ากังวล แทนที่จะโจมตีแพลตฟอร์มคลาวด์ที่ได้รับการป้องกันอย่างดีโดยตรง กลุ่มดังกล่าวกลับหันมาให้ความสนใจกับผู้ให้บริการด้านไอที บริษัทที่ดูแลและควบคุมระยะไกล และผู้ให้บริการที่มีการจัดการ (MSP) ซึ่งเป็นบริษัทที่รับผิดชอบในการรักษาความปลอดภัยและบำรุงรักษาเครือข่ายองค์กรทั่วโลก

พายุไต้ฝุ่นไหมแทรกซึมเข้าสู่ห่วงโซ่อุปทานไอทีได้อย่างไร

นักวิจัยของ Microsoft เปิดเผยว่า Silk Typhoon กำลังใช้คีย์ API ที่ขโมยมา ข้อมูลประจำตัวที่ถูกบุกรุก และสิทธิ์การเข้าถึงที่มีสิทธิพิเศษเพื่อเจาะระบบบริษัทไอทีอย่างเงียบๆ เมื่อเข้าไปข้างในแล้ว ผู้โจมตีสามารถขยายขอบเขตการเข้าถึงไปยังสภาพแวดล้อมของลูกค้าปลายทางได้ ซึ่งทำให้องค์กรต่างๆ มากมายตกอยู่ในความเสี่ยง

การโจมตีเหล่านี้ ไม่ใช่แค่การโจมตีแบบฉวยโอกาสเท่านั้น Silk Typhoon แสดงให้เห็นถึงความเข้าใจระดับสูงเกี่ยวกับสภาพแวดล้อมแบบไฮบริด โดยสามารถนำทางทั้งโครงสร้างพื้นฐานภายในองค์กรและบริการคลาวด์ได้อย่างชำนาญ Microsoft พบว่ากลุ่มนี้ใช้ประโยชน์จากเครื่องมือที่ถูกต้องตามกฎหมาย เช่น Entra Connect (เดิมชื่อ AADConnect) เพื่อเพิ่มสิทธิ์และรักษาการเข้าถึงในระยะยาว

ผ่านจุดเข้าเหล่านี้ Silk Typhoon ดำเนินการ:

  • การลาดตระเวนอย่างกว้างขวางเพื่อสร้างแผนที่ระบบภายใน
  • การเคลื่อนไหวด้านข้างข้ามเครือข่าย
  • การขโมยข้อมูลจากอีเมล การแชร์ไฟล์ และการเก็บข้อมูลบนคลาวด์
  • การเข้าถึงแบบถาวรโดยใช้เว็บเชลล์และแอปพลิเคชัน OAuth

ไม่มีใครปลอดภัยได้หากไม่มีการป้องกันที่แข็งแกร่ง

Microsoft เตือนว่าแม้แต่องค์กรที่ไม่ได้เป็นเป้าหมายโดยตรงก็อาจกลายเป็นความเสียหายทางอ้อมผ่านผู้ให้บริการไอทีของตนได้ หากธุรกิจของคุณต้องพึ่งพาบริการไอทีที่ใช้ร่วมกัน การจัดการข้อมูลประจำตัวที่อ่อนแอ หรือซอฟต์แวร์ที่ล้าสมัย คุณอาจตกอยู่ในความเสี่ยงแล้ว

ในอดีต Silk Typhoon สามารถเจาะระบบผลิตภัณฑ์ได้สำเร็จหลายประเภท เช่น เซิร์ฟเวอร์ Microsoft Exchange อุปกรณ์ VPN และไฟร์วอลล์ กลุ่มนี้อยู่เบื้องหลังการเจาะระบบของกระทรวงการคลังสหรัฐฯ โดยทำการสอดส่องสำนักงานที่ดูแลการลงทุนจากต่างประเทศและการคว่ำบาตร โดยใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ เช่น BeyondTrust และ PostgreSQL

กลยุทธ์ขั้นสูงที่ใช้โดย Silk Typhoon

แคมเปญล่าสุดของ Silk Typhoon เน้นย้ำถึงความซับซ้อนที่เพิ่มมากขึ้น ตามข้อมูลของ Microsoft พบว่ากลุ่มนี้ใช้:

  • การโจมตีแบบสเปรย์รหัสผ่านและการลาดตระเวนเพื่อค้นหารหัสผ่านขององค์กรที่นำมาใช้ซ้ำซึ่งพบในที่เก็บข้อมูลสาธารณะเช่น GitHub
  • แอปพลิเคชัน OAuth ที่ถูกบุกรุกพร้อมสิทธิ์ระดับสูงในการขโมยอีเมล ไฟล์ OneDrive และข้อมูล SharePoint ผ่านทาง MSGraph
  • แอปพลิเคชั่นที่มีผู้เช่าหลายรายทำให้แอปพลิเคชั่นเหล่านี้สามารถหมุนเวียนไปตามสภาพแวดล้อมคลาวด์และเข้าถึงทรัพยากรที่ละเอียดอ่อนในองค์กรต่างๆ ได้
  • การใช้ API ของ Exchange Web Services (EWS) ในทางที่ผิดเพื่อขโมยการสื่อสารทางอีเมล

สิ่งที่ทำให้การโจมตีเหล่านี้มีความอันตรายเป็นพิเศษก็คือความสามารถของ Silk Typhoon ในการแฮ็กแอปพลิเคชันที่มีการยินยอมจากผู้ใช้แล้ว ทำให้กิจกรรมที่เป็นอันตรายกลมกลืนไปกับการทำงานปกติ

ภัยคุกคามที่เพิ่มขึ้นของพายุไต้ฝุ่นไหม

Microsoft อธิบายว่า Silk Typhoon เป็น กลุ่มภัยคุกคามจากจีนที่ขยายตัวมากที่สุด ในโลก ด้วยการสนับสนุนที่แข็งแกร่งและทรัพยากรที่สามารถใช้ประโยชน์จากช่องโหว่แบบ Zero-day ได้อย่างรวดเร็ว จึงทำให้ Silk Typhoon กลายเป็นภัยคุกคามที่สำคัญในทุกภาคส่วน รวมถึงรัฐบาลกลางและท้องถิ่น สถาบันการเงิน และผู้ให้บริการด้านไอที

วิธีการปกป้ององค์กรของคุณ

โดยคำนึงถึงการพัฒนาเหล่านี้ Microsoft ขอแนะนำให้องค์กรต่างๆ:

  • ตรวจสอบคีย์ API และแอปพลิเคชัน OAuth เพื่อให้แน่ใจว่าไม่มีการเข้าถึงที่น่าสงสัยหรือมีสิทธิ์เกินควร
  • บังคับใช้การรักษาข้อมูลประจำตัวอย่างเข้มงวด รวมถึงการเปลี่ยนรหัสผ่านเป็นประจำและการตรวจสอบปัจจัยหลายประการ (MFA)
  • แพตช์ระบบทั้งหมดทันที โดยเฉพาะซอฟต์แวร์ที่มักถูกโจมตีจากภัยคุกคามขั้นสูงอย่างต่อเนื่อง (APT)
  • ตรวจสอบรูปแบบการเข้าถึงที่ผิดปกติ โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับบัญชีบริการและแอปพลิเคชันบนคลาวด์

    • การกำหนดเป้าหมายห่วงโซ่อุปทานไอทีพิสูจน์ให้เห็นว่าการจารกรรมทางไซเบอร์ไม่ใช่เพียงความเสี่ยงสำหรับหน่วยงานภาครัฐที่มีชื่อเสียงอีกต่อไป ทุกวันนี้ องค์กรทุกแห่งที่ต้องพึ่งพาโครงสร้างพื้นฐานร่วมกันหรือผู้ให้บริการบุคคลที่สามต้องปฏิบัติต่อตนเองในฐานะเป้าหมายที่มีแนวโน้ม

    การเฝ้าระวังความปลอดภัยทางไซเบอร์ไม่ใช่ทางเลือกอีกต่อไป แต่เป็นการป้องกันเพียงอย่างเดียวต่อศัตรูอย่าง Silk Typhoon ที่อยู่ห่างจากข้อมูลที่ละเอียดอ่อนที่สุดของคุณเพียงหนึ่งก้าวเสมอ

    กำลังโหลด...