Групата Silk Typhoon (известна още като Hafnium и Murky Panda), свързвана с китайското Министерство на държавната сигурност (MSS), отново е в центъра на вниманието след разкрития на CrowdStrike. След експлойтите срещу Microsoft Exchange през 2021 г., хакерите са пренасочили усилията си към облачни и IT доставчици, използвайки техните доверени връзки, за да получат достъп до високо ценeни цели в Северна Америка.

Тактика: експлоатация на доверие в облака

Вместо директно да атакуват правителствени, технологични или академични институции, Silk Typhoon използва доставчици на SaaS услуги и облачни платформи като междинно звено. Чрез компрометиране на app registrations, service principals и кръстосани разрешения, групата успява да се представя като легитимно приложение и да прониква в клиентските среди.

В един от случаите е компрометиран доставчик на Microsoft облачни услуги, при което атакуващите придобиват глобални администраторски права върху множество клиентски акаунти в Entra ID. Вместо да атакуват масово, хакерите се концентрират върху единична цел, установявайки дългосрочно присъствие и извличайки поверителни имейли.

Уязвимости и инструменти

Silk Typhoon използва комбинация от нулеви (zero-day) и известни (n-day) уязвимости, включително критичния CVE-2023-3519 в Citrix NetScaler ADC, който позволява отдалечено изпълнение на код без автентикация (CVSS 9.8). Освен това са документирани атаки срещу Commvault и други SaaS среди.

Групата разчита и на собствен зловреден софтуер – CloudedHope, написан на Go и предназначен за Linux системи. Той представлява RAT (Remote Access Trojan) с вградени механизми за укриване, дезинформация и анти-анализ функции.

Защо облакът е привлекателен за АРТ групи

Според експерти, облачните среди са привлекателна цел заради своя мащаб и сложна структура на доверие. Компрометирайки един SaaS доставчик, атакуващите получават достъп до множество организации. Освен това активността често изглежда като „нормални администраторски действия“, което прави атаките трудни за засичане.

От друга страна, облачните доставчици обикновено кръпват уязвимости бързо и генерират обширни логове. Това означава, че с подходящ мониторинг и корелация на сигналите, защитниците могат да идентифицират злонамерената дейност.

Случаят със Silk Typhoon ясно показва, че доверените връзки в облака се превръщат в ключова  повърхност за атака. Докато организациите не преминат към реални zero trust модели и по-стриктно управление на идентичности и права, те ще останат уязвими на подобни държавно подкрепени операции.