Η κινεζική κρατικά υποστηριζόμενη ομάδα κυβερνοκατασκοπείας, γνωστή ως Silk Typhoon, έχει στραφεί σε μια νέα, ιδιαίτερα ανησυχητική στρατηγική, στοχεύοντας τις εφοδιαστικές αλυσίδες πληροφορικής (IT supply chains) μέσω εργαλείων απομακρυσμένης διαχείρισης και υπηρεσιών cloud. Σκοπός αυτών των επιθέσεων είναι η απόκτηση πρόσβασης στα δίκτυα των πελατών, επηρεάζοντας πολλούς σημαντικούς τομείς, όπως κυβερνήσεις, υπηρεσίες πληροφορικής, υγεία, άμυνα, εκπαίδευση, μη κυβερνητικές οργανώσεις και ενέργεια.
Η Silk Typhoon αξιοποιεί ευπάθειες σε μη ενημερωμένες εφαρμογές, αποκτώντας αυξημένα επίπεδα πρόσβασης και πραγματοποιώντας κακόβουλες δραστηριότητες. Μετά την επιτυχή παραβίαση, χρησιμοποιεί κλεμμένα κλειδιά API και διαπιστευτήρια για πρόσβαση στα δίκτυα πελατών, εκμεταλλευόμενη εφαρμογές όπως αυτές της Microsoft.
Αλλαγή τακτικής και στόχευση MSPs
Η Silk Typhoon, η οποία είναι γνωστή από την επίθεση στο αμερικανικό Γραφείο Ελέγχου Ξένων Περιουσιακών Στοιχείων (OFAC) τον Δεκέμβριο του 2024, έχει εξελίξει τις μεθόδους της, στρέφοντας το ενδιαφέρον της σε παρόχους υπηρεσιών διαχείρισης (MSP). Η ομάδα εντοπίζει κλειδιά αυθεντικοποίησης και διαπιστευτήρια μέσω δημόσιων αποθετηρίων όπως το GitHub, καθώς και επιθέσεων τύπου password spraying για να αποκτήσει πρόσβαση σε κρίσιμα συστήματα.
Σε αντίθεση με τις προηγούμενες τακτικές της, που βασίζονταν σε ευπάθειες zero-day και n-day, η νέα προσέγγιση εστιάζει σε παραβιάσεις μέσω cloud υπηρεσιών, με στόχο την κλοπή διαπιστευτηρίων συγχρονισμού Active Directory (AADConnect) και την κατάχρηση εφαρμογών OAuth, κάνοντας έτσι τις επιθέσεις λιγότερο ανιχνεύσιμες.
Εκμετάλλευση ευπαθειών και δημιουργία “CovertNetwork”
Η Silk Typhoon συνεχίζει να εκμεταλλεύεται κρίσιμες ευπάθειες ως zero-day για αρχική πρόσβαση. Πρόσφατα, χρησιμοποίησε την ευπάθεια CVE-2025-0282 στο Ivanti Pulse Connect VPN και προηγουμένως τις ευπάθειες CVE-2024-3400 στο Palo Alto Networks GlobalProtect και CVE-2023-3519 στο Citrix NetScaler ADC και Gateway.
Η ομάδα έχει δημιουργήσει ένα “CovertNetwork” αποτελούμενο από παραβιασμένες συσκευές Cyberoam, Zyxel routers και QNAP, με σκοπό την εκτέλεση επιθέσεων και απόκρυψη των ενεργειών της. Η Microsoft έχει δημοσιεύσει ενημερωμένους δείκτες παραβίασης για να ενισχύσει την άμυνα των οργανισμών.
Συστάσεις για αποτελεσματική προστασία
Οι οργανισμοί πρέπει να εφαρμόζουν τακτικές ενημερώσεις λογισμικού και patches, έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), διαχείριση διαπιστευτηρίων και συνεχή παρακολούθηση των δικτύων τους για την έγκαιρη ανίχνευση και αποτροπή των επιθέσεων.
Συμπέρασμα
Η Silk Typhoon παραμένει ένας από τους πιο επικίνδυνους παίκτες στον τομέα της κυβερνοκατασκοπείας, καθώς συνεχίζει να προσαρμόζεται και να εξελίσσει τις επιθέσεις της, απαιτώντας διαρκή επαγρύπνηση και ενημέρωση από τους υπεύθυνους ασφαλείας.
Πηγές: TheHackerNews, SecurityWeek, BleepingComputer
