Microsoft a lancé une mise en garde contre « Silk Typhoon », un groupe d'espionnage chinois, qui a espionné la technologie du cloud. Ce groupe, qui a déjà été accusé d'être à l'origine de brèches dans le Trésor public américain, s'attaque désormais aux chaînes d'approvisionnement informatique. Selon un article publié sur le blog de Microsoft Security, le groupe se concentre sur des solutions informatiques courantes telles que les outils de gestion à distance et les applications cloud pour obtenir un accès initial.Silk Typhoon, un groupe bien financé et techniquement efficace, est connu pour rendre rapidement opérationnels des exploits pour des vulnérabilités de type « zero-day » découvertes dans des dispositifs de pointe. Il possède l'une des plus grandes empreintes de ciblage parmi les acteurs chinois de la menace, en raison de sa nature opportuniste qui consiste à agir en fonction des découvertes faites dans le cadre d'opérations de recherche de vulnérabilités. Dès qu'ils découvrent un dispositif vulnérable destiné au public, ils passent rapidement à la phase d'exploitation.
Le groupe a ciblé un large éventail de secteurs et de régions géographiques, notamment des services et infrastructures informatiques, des sociétés de surveillance et de gestion à distance (RMM), des fournisseurs de services gérés (MSP) et leurs filiales, des services de santé, des services juridiques, l'enseignement supérieur, la défense, le gouvernement, des organisations non gouvernementales (ONG), l'énergie, et d'autres encore, situés aux États-Unis et dans le monde entier.
Silk Typhoon a fait preuve de compétence pour comprendre comment les environnements cloud sont déployés et configurés. Cela lui permet de se déplacer latéralement, de maintenir la persistance et d'exfiltrer rapidement des données dans les environnements des victimes. Depuis que Microsoft Threat Intelligence a commencé à suivre cet acteur de la menace en 2020, Silk Typhoon a utilisé une variété de shells web pour exécuter des commandes, maintenir la persistance et exfiltrer des données des environnements des victimes.
Microsoft a directement notifié les clients ciblés ou compromis, en leur fournissant des informations importantes nécessaires pour sécuriser leurs environnements. Microsoft publie ces informations afin de sensibiliser aux activités malveillantes récentes et anciennes de Silk Typhoon, de fournir des conseils en matière d'atténuation et de chasse, et de contribuer à perturber les opérations de cet acteur de la menace.
Activité récente de Silk Typhoon
Compromission de la chaîne d'approvisionnement
Depuis la fin de l'année 2024, Microsoft Threat Intelligence a mené des recherches approfondies et suivi les attaques en cours menées par Silk Typhoon. Ces efforts ont considérablement amélioré la compréhension des opérations de l'acteur et ont permis de découvrir de nouvelles techniques utilisées par l'acteur. En particulier, Silk Typhoon a été observé en train d'abuser de clés API volées et d'informations d'identification associées à la gestion de l'accès aux privilèges (PAM), aux fournisseurs d'applications cloud et aux sociétés de gestion de données cloud, permettant à l'acteur de la menace d'accéder aux environnements clients en aval de ces sociétés. Les entreprises de ces secteurs sont des cibles potentielles pour l'acteur de la menace.
Les observations ci-dessous ont été faites par Microsoft une fois que Silk Typhoon a réussi à voler la clé API :
- Silk Typhoon a utilisé des clés API volées pour accéder aux clients/locataires en aval de l'entreprise initialement compromise.
- En s'appuyant sur l'accès obtenu via la clé API, l'acteur a effectué une reconnaissance et une collecte de données sur les appareils ciblés via un compte administrateur. Les données d'intérêt se recoupent avec des intérêts basés en Chine, la politique et l'administration du gouvernement américain, ainsi que les procédures judiciaires et les documents liés aux enquêtes des forces de l'ordre.
- D'autres techniques ont été identifiées, notamment la réinitialisation du compte administrateur par défaut via la clé API, l'implantation d'un shell web, la création d'utilisateurs supplémentaires et l'effacement des journaux des actions...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.