Báo giá giảm giá nhiều giấy phép
Bảo mật máy tính Tin tặc được Trung Quốc hậu thuẫn đứng sau vụ xâm phạm...

Tin tặc được Trung Quốc hậu thuẫn đứng sau vụ xâm phạm Kho bạc Hoa Kỳ hiện đang nhắm mục tiêu vào chuỗi cung ứng CNTT toàn cầu

Đến năm Mura năm Bảo mật máy tính
Dịch sang:
Tiếng Việt Nam

Một chương mới nguy hiểm đã mở ra trong các chiến dịch gián điệp mạng đang diễn ra do Silk Typhoon thực hiện, một nhóm tin tặc được chính phủ Trung Quốc hậu thuẫn gần đây có liên quan đến vụ vi phạm của Bộ Tài chính Hoa Kỳ. Nhóm tình báo về mối đe dọa của Microsoft đã đưa ra cảnh báo nghiêm khắc, tiết lộ rằng Silk Typhoon hiện đang tích cực khai thác chuỗi cung ứng CNTT toàn cầu để xâm nhập vào các doanh nghiệp, tiến hành giám sát và đánh cắp dữ liệu nhạy cảm.

Hoạt động mới nhất này đánh dấu sự thay đổi đáng lo ngại trong chiến thuật của Silk Typhoon. Thay vì tấn công trực tiếp vào các nền tảng đám mây được bảo vệ tốt, nhóm này đang chuyển sự chú ý sang các nhà cung cấp dịch vụ CNTT, các công ty quản lý và giám sát từ xa và các nhà cung cấp dịch vụ được quản lý (MSP)—chính là những công ty chịu trách nhiệm bảo mật và duy trì mạng lưới doanh nghiệp trên toàn thế giới.

Silk Typhoon xâm nhập vào chuỗi cung ứng CNTT như thế nào

Các nhà nghiên cứu của Microsoft phát hiện ra rằng Silk Typhoon đang sử dụng các khóa API bị đánh cắp, thông tin đăng nhập bị xâm phạm và quyền truy cập đặc quyền để âm thầm xâm phạm các công ty CNTT. Một khi đã xâm nhập, kẻ tấn công có thể mở rộng phạm vi tiếp cận của chúng vào môi trường khách hàng hạ nguồn, khiến vô số tổ chức gặp rủi ro.

Những cuộc tấn công này không chỉ là cơ hội . Silk Typhoon thể hiện sự hiểu biết sâu sắc về môi trường lai, khéo léo điều hướng cả cơ sở hạ tầng tại chỗ và dịch vụ đám mây. Microsoft đã quan sát thấy nhóm này khai thác các công cụ hợp pháp như Entra Connect (trước đây là AADConnect) để leo thang đặc quyền và duy trì quyền truy cập lâu dài.

Thông qua các điểm vào này, Silk Typhoon tiến hành:

  • Tiến hành trinh sát mở rộng để lập bản đồ các hệ thống nội bộ
  • Chuyển động ngang qua các mạng lưới
  • Rò rỉ dữ liệu từ email, chia sẻ tệp và lưu trữ đám mây
  • Truy cập liên tục bằng cách sử dụng web shell và ứng dụng OAuth

Không ai an toàn nếu không có sự phòng thủ vững chắc

Microsoft cảnh báo rằng ngay cả các tổ chức không phải là mục tiêu trực tiếp cũng có thể trở thành thiệt hại tài sản thế chấp thông qua các nhà cung cấp CNTT của họ. Nếu doanh nghiệp của bạn dựa vào các dịch vụ CNTT dùng chung, quản lý thông tin xác thực yếu hoặc phần mềm lỗi thời, bạn có thể đã dễ bị tấn công.

Trong lịch sử, Silk Typhoon đã thành công trong việc xâm nhập vào nhiều sản phẩm, bao gồm máy chủ Microsoft Exchange, thiết bị VPN và tường lửa. Nhóm này đứng sau vụ xâm nhập Bộ Tài chính Hoa Kỳ, nơi nó do thám các văn phòng xử lý đầu tư nước ngoài và lệnh trừng phạt, khai thác lỗ hổng trong phần mềm như BeyondTrust và PostgreSQL.

Chiến thuật nâng cao được sử dụng bởi Silk Typhoon

Các chiến dịch gần đây của Silk Typhoon cho thấy sự tinh vi ngày càng tăng của chúng. Theo Microsoft, nhóm này đã được quan sát thấy sử dụng:

  • Các cuộc tấn công phun mật khẩu và trinh sát để phát hiện ra mật khẩu công ty đã sử dụng lại được tìm thấy trong các kho lưu trữ công cộng như GitHub
  • Các ứng dụng OAuth bị xâm phạm với quyền cấp cao để đánh cắp email, tệp OneDrive và dữ liệu SharePoint thông qua MSGraph
  • Các thỏa hiệp ứng dụng đa thuê bao, cho phép chúng xoay vòng trên các môi trường đám mây và truy cập các tài nguyên nhạy cảm trong các tổ chức khác nhau
  • Lạm dụng API của Dịch vụ Web Exchange (EWS) để đánh cắp thông tin liên lạc qua email

Điều khiến các cuộc tấn công này đặc biệt nguy hiểm là khả năng chiếm đoạt các ứng dụng đã có sự đồng ý của người dùng của Silk Typhoon, khiến hoạt động độc hại của chúng hòa lẫn vào các hoạt động bình thường.

Mối đe dọa ngày càng tăng của cơn bão tơ lụa

Microsoft mô tả Silk Typhoon là một trong những nhóm đe dọa Trung Quốc mở rộng nhất trên thế giới. Với sự hậu thuẫn mạnh mẽ và nguồn lực khai thác lỗ hổng zero-day nhanh chóng, chúng gây ra mối đe dọa đáng kể trên nhiều lĩnh vực, bao gồm chính quyền tiểu bang và địa phương, các tổ chức tài chính và nhà cung cấp dịch vụ CNTT.

Làm thế nào để bảo vệ tổ chức của bạn

Trước những diễn biến này, Microsoft kêu gọi các tổ chức:

  • Kiểm tra khóa API và ứng dụng OAuth để đảm bảo không có truy cập đáng ngờ hoặc có đặc quyền quá mức
  • Thực hiện vệ sinh thông tin xác thực chặt chẽ, bao gồm thay đổi mật khẩu thường xuyên và xác thực đa yếu tố (MFA)
  • Vá tất cả các hệ thống kịp thời, đặc biệt là phần mềm thường bị nhắm mục tiêu bởi các mối đe dọa dai dẳng tiên tiến (APT)
  • Theo dõi các mẫu truy cập bất thường, đặc biệt liên quan đến tài khoản dịch vụ và ứng dụng đám mây

    • Việc nhắm mục tiêu vào chuỗi cung ứng CNTT chứng minh rằng gián điệp mạng không còn chỉ là rủi ro đối với các thực thể chính phủ cấp cao. Ngày nay, mọi tổ chức phụ thuộc vào cơ sở hạ tầng dùng chung hoặc nhà cung cấp bên thứ ba đều phải coi mình là mục tiêu tiềm năng.

    Việc cảnh giác về an ninh mạng không còn là tùy chọn nữa mà là biện pháp phòng thủ duy nhất chống lại những kẻ tấn công như Silk Typhoon, những kẻ luôn chỉ cách dữ liệu nhạy cảm nhất của bạn một bước chân.

    Đang tải...