Cotización de descuento para licencias múltiples
Seguridad informática Los piratas informáticos respaldados por China que están...

Los piratas informáticos respaldados por China que están detrás del ataque al Tesoro de EE. UU. ahora apuntan a las cadenas de suministro de TI globales

Por Mura en Seguridad informática
Traducir a:
Español

Se ha abierto un nuevo y peligroso capítulo en las campañas de ciberespionaje que lleva a cabo Silk Typhoon, un grupo de piratas informáticos respaldado por el gobierno chino que recientemente estuvo vinculado a la violación de datos del Departamento del Tesoro de Estados Unidos. El equipo de inteligencia de amenazas de Microsoft ha emitido una dura advertencia, en la que revela que Silk Typhoon está explotando activamente la cadena de suministro de TI global para infiltrarse en empresas, realizar vigilancia y robar datos confidenciales.

Esta última actividad marca un cambio preocupante en las tácticas de Silk Typhoon. En lugar de atacar directamente plataformas de nube bien defendidas, el grupo está dirigiendo su atención a los proveedores de servicios de TI, empresas de monitoreo y administración remotas y proveedores de servicios administrados (MSP), las mismas empresas responsables de proteger y mantener las redes corporativas en todo el mundo.

Cómo el tifón Silk se infiltra en la cadena de suministro de TI

Los investigadores de Microsoft descubrieron que Silk Typhoon utiliza claves API robadas, credenciales comprometidas y acceso privilegiado para atacar silenciosamente a empresas de TI. Una vez dentro, los atacantes pueden extender su alcance a entornos de clientes posteriores, poniendo en riesgo a innumerables organizaciones.

Estos ataques son más que oportunistas . Silk Typhoon demuestra un alto nivel de conocimiento de los entornos híbridos, navegando hábilmente tanto en la infraestructura local como en los servicios en la nube. Microsoft observó que el grupo explotaba herramientas legítimas como Entra Connect (anteriormente AADConnect) para escalar privilegios y mantener el acceso a largo plazo.

A través de estos puntos de entrada, Silk Typhoon realiza:

  • Reconocimiento exhaustivo para mapear los sistemas internos
  • Movimiento lateral a través de redes
  • Exfiltración de datos de correos electrónicos, recursos compartidos de archivos y almacenamiento en la nube
  • Acceso persistente mediante shells web y aplicaciones OAuth

Nadie está seguro sin defensas fuertes

Microsoft advierte que incluso las organizaciones que no son objetivos directos podrían sufrir daños colaterales a través de sus proveedores de TI. Si su empresa depende de servicios de TI compartidos, una gestión de credenciales deficiente o un software obsoleto, es posible que ya sea vulnerable.

Históricamente, Silk Typhoon ha logrado infiltrarse en una amplia gama de productos, incluidos servidores Microsoft Exchange, dispositivos VPN y cortafuegos. El grupo estuvo detrás de la filtración de datos del Departamento del Tesoro de Estados Unidos, donde espió a oficinas que manejaban inversiones extranjeras y sanciones, explotando vulnerabilidades en software como BeyondTrust y PostgreSQL.

Tácticas avanzadas utilizadas por Silk Typhoon

Las campañas recientes de Silk Typhoon ponen de relieve su creciente sofisticación. Según Microsoft, se ha observado que el grupo ha utilizado:

  • Ataques de rociado de contraseñas y reconocimiento para descubrir contraseñas corporativas reutilizadas que se encuentran en repositorios públicos como GitHub
  • Aplicaciones OAuth comprometidas con permisos de alto nivel para robar correos electrónicos, archivos de OneDrive y datos de SharePoint a través de MSGraph
  • Compromisos de aplicaciones multiinquilino, lo que les permite cambiar de entorno de nube y acceder a recursos confidenciales en diferentes organizaciones
  • Abuso de la API de Exchange Web Services (EWS) para filtrar comunicaciones por correo electrónico

Lo que hace que estos ataques sean especialmente peligrosos es la capacidad de Silk Typhoon de secuestrar aplicaciones que ya cuentan con el consentimiento del usuario, haciendo que su actividad maliciosa se mezcle con las operaciones normales.

La creciente amenaza del tifón Silk

Microsoft describe a Silk Typhoon como uno de los grupos de amenazas chinos más grandes del mundo. Con un fuerte respaldo y los recursos para explotar vulnerabilidades de día cero rápidamente, representan una amenaza significativa en todos los sectores, incluidos los gobiernos estatales y locales, las instituciones financieras y los proveedores de servicios de TI.

Cómo proteger su organización

A la luz de estos acontecimientos, Microsoft insta a las organizaciones a:

  • Audite las claves API y las aplicaciones OAuth para garantizar que no haya acceso sospechoso o con demasiados privilegios
  • Aplicar una estricta higiene de credenciales, incluidos cambios periódicos de contraseñas y autenticación multifactor (MFA)
  • Aplicar parches a todos los sistemas de manera rápida, especialmente al software que suele ser el objetivo de amenazas persistentes avanzadas (APT)
  • Monitorizar patrones de acceso inusuales, especialmente aquellos que involucran cuentas de servicio y aplicaciones en la nube

    • El hecho de que las cadenas de suministro de TI sean blanco de ataques demuestra que el ciberespionaje ya no es un riesgo exclusivo de las entidades gubernamentales de alto perfil. Hoy en día, toda organización que dependa de infraestructuras compartidas o de proveedores externos debe considerarse un objetivo potencial.

    La vigilancia de la ciberseguridad ya no es opcional: es la única defensa contra adversarios como Silk Typhoon, que siempre están a un paso de sus datos más confidenciales.

    Cargando...