Devis de remise multi-licences
Sécurité informatique Les pirates informatiques soutenus par la Chine à...

Les pirates informatiques soutenus par la Chine à l'origine de la violation du Trésor américain ciblent désormais les chaînes d'approvisionnement informatiques mondiales

Par Mura en Sécurité informatique
Se traduisent par :
Français

Un nouveau chapitre dangereux s'ouvre dans les campagnes de cyberespionnage menées par Silk Typhoon, un groupe de hackers soutenu par le gouvernement chinois et récemment lié à la faille de sécurité du département du Trésor américain. L'équipe de renseignement sur les menaces de Microsoft a émis un avertissement sévère, révélant que Silk Typhoon exploite désormais activement la chaîne d'approvisionnement informatique mondiale pour infiltrer des entreprises, effectuer des surveillances et voler des données sensibles.

Cette dernière activité marque un changement inquiétant dans la tactique de Silk Typhoon. Plutôt que de s'attaquer directement aux plateformes cloud bien défendues, le groupe tourne son attention vers les fournisseurs de services informatiques, les sociétés de surveillance et de gestion à distance et les fournisseurs de services gérés (MSP), les entreprises mêmes chargées de sécuriser et de maintenir les réseaux d'entreprise dans le monde entier.

Comment Silk Typhoon s'infiltre dans la chaîne d'approvisionnement informatique

Les chercheurs de Microsoft ont découvert que Silk Typhoon utilise des clés API volées, des identifiants compromis et des accès privilégiés pour pénétrer discrètement dans les systèmes informatiques des entreprises. Une fois à l'intérieur, les attaquants peuvent étendre leur portée aux environnements clients en aval, mettant ainsi en danger d'innombrables organisations.

Ces attaques sont plus que de simples attaques opportunistes . Silk Typhoon démontre une compréhension de haut niveau des environnements hybrides, naviguant habilement à la fois dans l'infrastructure sur site et dans les services cloud. Microsoft a observé que le groupe exploitait des outils légitimes comme Entra Connect (anciennement AADConnect) pour augmenter les privilèges et maintenir l'accès à long terme.

Par ces points d’entrée, Silk Typhoon effectue :

  • Reconnaissance approfondie pour cartographier les systèmes internes
  • Mouvement latéral à travers les réseaux
  • Exfiltration de données à partir de courriers électroniques, de partages de fichiers et de stockage dans le cloud
  • Accès persistant à l'aide de shells Web et d'applications OAuth

Personne n’est en sécurité sans défenses solides

Microsoft prévient que même les entreprises qui ne sont pas directement visées par les attaques pourraient devenir des victimes collatérales de leurs fournisseurs informatiques. Si votre entreprise s'appuie sur des services informatiques partagés, une gestion des identifiants peu efficace ou des logiciels obsolètes, vous êtes peut-être déjà vulnérable.

Par le passé, Silk Typhoon a réussi à pirater une large gamme de produits, notamment des serveurs Microsoft Exchange, des appareils VPN et des pare-feu. Le groupe était à l'origine de la faille du département du Trésor américain, où il a espionné les bureaux chargés des investissements étrangers et des sanctions, en exploitant les vulnérabilités de logiciels comme BeyondTrust et PostgreSQL.

Tactiques avancées utilisées par Silk Typhoon

Les récentes campagnes de Silk Typhoon mettent en évidence leur sophistication croissante. Selon Microsoft, le groupe a été observé en train d'utiliser :

  • Attaques par pulvérisation de mots de passe et reconnaissance pour découvrir des mots de passe d'entreprise réutilisés trouvés dans des référentiels publics comme GitHub
  • Applications OAuth compromises avec des autorisations de haut niveau pour voler des e-mails, des fichiers OneDrive et des données SharePoint via MSGraph
  • Compromis des applications multi-locataires, leur permettant de pivoter entre les environnements cloud et d'accéder aux ressources sensibles dans différentes organisations
  • Abus de l'API Exchange Web Services (EWS) pour exfiltrer les communications par courrier électronique

Ce qui rend ces attaques particulièrement dangereuses est la capacité de Silk Typhoon à détourner des applications qui ont déjà le consentement de l'utilisateur, faisant en sorte que leur activité malveillante se fonde dans les opérations normales.

La menace croissante du typhon de la soie

Microsoft décrit Silk Typhoon comme l'un des groupes de cybercriminels chinois les plus étendus au monde. Dotés d'un soutien solide et de ressources pour exploiter rapidement les vulnérabilités zero-day, ils représentent une menace importante pour tous les secteurs, notamment les gouvernements étatiques et locaux, les institutions financières et les fournisseurs de services informatiques.

Comment protéger votre organisation

À la lumière de ces évolutions, Microsoft exhorte les organisations à :

  • Auditez les clés API et les applications OAuth pour garantir l'absence d'accès suspect ou surprivilégié
  • Appliquez une hygiène rigoureuse des informations d'identification, notamment des changements de mot de passe réguliers et une authentification multifacteur (MFA)
  • Appliquez rapidement les correctifs à tous les systèmes, en particulier aux logiciels généralement ciblés par les menaces persistantes avancées (APT)
  • Surveillez les modèles d'accès inhabituels, notamment ceux impliquant des comptes de service et des applications cloud

    • Le ciblage des chaînes d’approvisionnement informatiques prouve que le cyberespionnage ne constitue plus uniquement un risque pour les entités gouvernementales de premier plan. Aujourd’hui, toute organisation qui dépend d’infrastructures partagées ou de fournisseurs tiers doit se considérer comme une cible potentielle.

    La vigilance en matière de cybersécurité n’est plus facultative : c’est la seule défense contre des adversaires comme Silk Typhoon, qui sont toujours à un pas de vos données les plus sensibles.

    Chargement...