Silk Typhoon è un noto gruppo di cybercriminali finanziato dal governo che esegue attacchi di spionaggio contro aziende e organizzazioni negli Stati Uniti e altri paesi occidentali. Microsoft ha scoperto nuove tecniche utilizzate per accedere alle reti. Il Dipartimento di Giustizia ha individuato due membri di Silk Typhoon ed emesso un mandato di arresto (chi fornirà informazioni utili riceverà una ricompensa di 2 milioni di dollari).
Furto di chiavi API e credenziali
In passato, Silk Typhoon hanno sfruttato vulnerabilità nei dispositivi connessi ad Internet per l’accesso iniziale alle reti, l’installazione di web shell e il furto di dati sensibili. A partire dalla fine del 2024, i cybercriminali cinesi hanno cambiato le tecniche di intrusione.
Utilizzando chiavi API e credenziali rubate da provider cloud e gestori di identità, Silk Typhoon riesce ad accedere agli ambienti dei loro clienti, ottenere privilegi di amministratore e rubare dati utili al governo cinese. Le chiavi di autenticazione vengono trovate nei repository di GitHub o in altre risorse pubbliche. In alcuni casi eseguono anche attacchi di password spray.
Una volta entrati nel sistema della vittima possono sfruttare le applicazioni OAuth per accedere a email, file su OneDrive e dati in SharePoint. Per nascondere le loro attività hanno creato diverse “covert network” formate da dispositivi compromessi. Gli attacchi provengono ad esempio dagli indirizzi IP (legittimi) di router Zyxel o NAS QNAP.
Silk Typhoon è noto per l’intrusione effettuata a dicembre 2024 in oltre 400 computer del Dipartimento del Tesoro. Il Dipartimento di Giustizia ha individuato 12 cybercriminali cinesi, due dei quali (Yin Kecheng e Zhou Shuai) sono membri di Silk Typhoon (noto anche come APT27).
Ti potrebbe interessare
6 mar 2025