Systems(世界第三大军事企业BAE Systems)联合发布了一份名为以云为跳板的文章——新一轮持续的全球网络间谍活动报告怀疑,一个来自中国的黑客组织可能是一系列攻击主机服务提供商的幕后黑手。它计划以这种方式窃取主机服务提供商客户的知识产权。
这个名字叫APT10(又名石头熊猫)的黑客组织使用自定义恶意软件和鱼叉式网络钓鱼攻击来访问受害者的系统。
一旦APT10渗透到网络中,将进行调查,以确保部署mimikatz(一种抓取Windows密码工具)或PWDUMP(一种破解和恢复Windows密码工具)从感染中获得合法凭证MSP窃取额外凭证、管理员凭证和数据。
MSP基础设施的共享性质使APT10成功允许黑客MSP与客户端秘密移动——因此得名Cloud Hopper。
入侵成功后,他们立即利用目标公司持有的文件进一步攻击其客户。
目前,APT10已经利用这种攻击方式对美国、加拿大、英国、法国、瑞士、南非、斯堪的纳维亚半岛、泰国、韩国、印度和日本发起了网络攻击。
APT10进攻步骤和战术
供应链的安全一直被认为是安全系统中最大的弱点,特别是在2013年,攻击者以暖通空调服务提供商为跳板,成功入侵了美国的目标零售网络。APT10这种攻击方法正在大规模使用。
ATP10攻击MSP,向全球客户发起网络间谍活动。
网络安全实践部和普华永道BAE系统公司与国家网络安全中心(简称NCSC)合作发现了黑客组织的踪迹。
这种间谍活动的规模直到2016年底才出现,但它被认为是迄今为止世界上最大的连续网络间谍活动之一。
普华永道和BAE Systems表示,APT10攻击外包IT托管服务提供商向其全球客户发起间谍活动,从而获得了前所未有的大规模知识产权和敏感数据。
据说黑客组织在2014年开展了此类活动,包括增加新开发者和入侵操作员,并在2016年初大幅增加了攻击能力。
APT10伪装成日本政府机构进行网络间谍活动。
普华永道和BAE系统公司表示,APT10从多家受害公司提取大量数据,并利用其他入侵网络在全球范围内隐藏数据。
一系列日本组织也成为目标。作为最大的嫌疑攻击者,APT10很可能伪装成日本政府的合法职能实体。
根据对攻击时间和使用工具技术的法医分析,调查人员得出结论,黑客组织可能在中国成立,但此外还不清楚APT10背后的实际人员构成,以及为什么针对这些受害者组织。
克里斯·麦康奈尔(Chris McConnell)这种间接攻击的出现表明,各种组织有必要充分了解其可能面临的威胁,特别是来自供应链的威胁因素。
他解释说,这种具有巨大潜在影响的全球黑客活动需要高度重视,这意味着世界各地的组织应与其安全团队和供应商密切合作,共同检测网络中的关键预警信号,确保合理的响应和自我保护能力。
普华永道网络安全合伙人·崔恩(Richard Cui 'en)此外,通过各方的共同努力,他们可以向世界各地的安全机构、托管服务提供商和已知的最终受害者发布相关发现,以帮助他们预防、测试和处理此类攻击。如果他们只依赖其中一个,他们就找不到这种新的间接攻击。
目前,英国国家网络安全中心(NCSC)澳大利亚国家网络安全中心(ACSC)已向所在国企业发出相关安全警报。