Знижка на кілька ліцензій
Комп'ютерна безпека Підтримувані Китаєм хакери, що стоять за зломом...

Підтримувані Китаєм хакери, що стоять за зломом казначейства США, тепер націлені на глобальні ланцюги постачання ІТ

До Mura року в Комп'ютерна безпека році
Перекласти на:
Українська

Відкрилася нова небезпечна сторінка в поточних кампаніях кібершпигунства, які проводить Silk Typhoon, підтримувана урядом Китаю хакерська група, нещодавно пов’язана зі зломом у Міністерстві фінансів США. Команда Microsoft із аналізу загроз випустила суворе попередження, виявивши, що Silk Typhoon зараз активно використовує глобальний ланцюжок постачання ІТ для проникнення в бізнес, здійснення стеження та викрадення конфіденційних даних.

Ця остання діяльність знаменує серйозну зміну в тактиці Silk Typhoon. Замість того, щоб безпосередньо атакувати добре захищені хмарні платформи, група звертає свою увагу на постачальників ІТ-послуг, фірми з дистанційного моніторингу та управління, а також постачальників керованих послуг (MSP) — ті самі компанії, які відповідають за безпеку та підтримку корпоративних мереж у всьому світі.

Як Silk Typhoon проникає через ІТ-ланцюг поставок

Дослідники Microsoft виявили, що Silk Typhoon використовує вкрадені ключі API, скомпрометовані облікові дані та привілейований доступ для тихого зламу ІТ-компаній. Потрапивши всередину, зловмисники можуть розширити свій доступ до клієнтського середовища, піддаючи ризику незліченну кількість організацій.

Ці напади є більш ніж просто опортуністичними . Silk Typhoon демонструє високий рівень розуміння гібридних середовищ, вміло орієнтуючись як на локальну інфраструктуру, так і на хмарні служби. Microsoft спостерігала, як група використовує законні інструменти, такі як Entra Connect (раніше AADConnect), щоб підвищити привілеї та підтримувати довгостроковий доступ.

Через ці точки входу Silk Typhoon здійснює:

  • Масштабна розвідка для визначення внутрішніх систем
  • Бічний рух по мережах
  • Викрадання даних із електронної пошти, файлообмінників і хмарних сховищ
  • Постійний доступ за допомогою веб-оболонок і програм OAuth

Ніхто не в безпеці без надійного захисту

Microsoft попереджає, що навіть організації, які не є прямими цілями, можуть стати побічним збитком через своїх ІТ-провайдерів. Якщо ваш бізнес залежить від спільних ІТ-сервісів, слабкого керування обліковими даними або застарілого програмного забезпечення, ви вже можете бути вразливими.

Історично Silk Typhoon успішно зламав широкий спектр продуктів, включаючи сервери Microsoft Exchange, пристрої VPN і брандмауери. Ця група стояла за зломом у Міністерстві фінансів США, де вона шпигувала за офісами, які займалися іноземними інвестиціями та санкціями, використовуючи вразливості програмного забезпечення, як-от BeyondTrust і PostgreSQL.

Передова тактика, яку використовує Silk Typhoon

Нещодавні кампанії Silk Typhoon підкреслюють їхню зростаючу витонченість. За даними Microsoft, групу спостерігали за допомогою:

  • Атаки розпиленням паролів і розвідка для виявлення повторно використовуваних корпоративних паролів, знайдених у загальнодоступних сховищах, таких як GitHub
  • Зламані програми OAuth із дозволами високого рівня на крадіжку електронних листів, файлів OneDrive та даних SharePoint через MSGraph
  • Компроміс додатків із декількома клієнтами, що дозволяє їм орієнтуватися в хмарних середовищах і отримувати доступ до конфіденційних ресурсів у різних організаціях
  • Зловживання API веб-служб Exchange (EWS) для викрадання електронної пошти

Що робить ці атаки особливо небезпечними, так це здатність Silk Typhoon захоплювати програми, які вже мають згоду користувача, завдяки чому їх зловмисна діяльність змішується зі звичайними операціями.

Зростаюча загроза шовкового тайфуну

Microsoft описує Silk Typhoon як одну з наймасштабніших китайських груп загроз у світі. Маючи потужну підтримку та ресурси для швидкого використання вразливостей нульового дня, вони становлять значну загрозу для різних секторів, включаючи державні та місцеві органи влади, фінансові установи та постачальників ІТ-послуг.

Як захистити свою організацію

У світлі цих подій Microsoft закликає організації:

  • Перевірте ключі API та додатки OAuth, щоб уникнути підозрілого чи надто привілейованого доступу
  • Забезпечте сувору гігієну облікових даних, зокрема регулярну зміну пароля та багатофакторну автентифікацію (MFA)
  • Негайно виправляйте всі системи, особливо програмне забезпечення, на яке зазвичай спрямовані постійні загрози (APT)
  • Слідкуйте за незвичайними моделями доступу, зокрема з обліковими записами служб і хмарними програмами

    • Націлювання на ланцюги постачання ІТ доводить, що кібершпигунство більше не є лише ризиком для високопоставлених державних установ. Сьогодні кожна організація, яка залежить від спільної інфраструктури або сторонніх постачальників, повинна розглядати себе як потенційну мішень.

    Пильність у сфері кібербезпеки більше не є обов’язковою — це єдиний захист від ворогів, таких як Silk Typhoon, які завжди в одному кроці від ваших найбільш конфіденційних даних.

    Завантаження...