更多全球网络安全资讯尽在E安全官网
E安全4月5日讯 普华永道与BAE Systems(BAE系统公司,世界第三大军工企业)联合发布了一份名为《以云为跳板——新一轮持续性全球网络间谍活动》的报告,怀疑某个来自中国的黑客组织可能正是一系列针对托管服务供应商之攻击活动的幕后黑手,而其计划利用此类方式从托管服务商之客户手中窃取知识产权。
这一被称为APT10(也被称为石熊猫,Stone Panda)的黑客组织利用自定义恶意软件与鱼叉式网络钓鱼攻击获取受害者系统的访问权。
一旦APT10渗透进网络,就会进行侦查确保在部署mimikatz(抓取Windows密码的工具)或PwDump(Windows密码破解和恢复工具)之前获取合法凭证,以从被感染的MSP中窃取额外的凭证、管理员凭证和数据。
MSP基础设施的共享特性成就了APT10的成功,允许黑客在MSP和客户端之间秘密活动——因而得名Cloud Hopper。
在顺利入侵之后,他们随即利用目标公司所掌握的凭证对其企业客户发动进一步攻击。
目前APT10利用这种攻击手段对美国、加拿大、英国、法国、瑞士、南非、斯堪的纳维亚、泰国、韩国、印度和日本等国家发动过网络攻势。
APT10的攻击步骤手法
供应链的安全性一直被公认为安全体系中的最大弱点,特别是在2013年,攻击者曾经利用HVAC服务供应商作为跳板成功入侵了美国Target零售网络。就目前来看,APT10正在以更大的规模使用这种攻击方式。
ATP10攻击MSP并向全球各客户发动网络间谍活动普华永道的网络安全实践部门与BAE Systems配合英国国家网络安全中心(简称NCSC)共同发现了该黑客组织的行迹。
这一间谍活动的规模只在2016年年末才有所体现,不过该间谍活动被认为是迄今为止全球范围内规模最大的持续性网络间谍行为之一。
普华永道与BAE Systems方面表示,APT10通过攻击外包IT托管服务供应商的方式,向其全球各客户发动间谍活动,并借此获得了前所未有的大规模知识产权与敏感数据。
据称,该黑客组织曾于2014年进行过此类活动,并在2016年年初大幅提高活动规模,包括增加新的开发者与入侵操作人员以不断提升攻击能力。
APT10伪装成日本政府机构进行网络间谍活动普华永道与BAE Systems方面表示,APT10已经从多家受害者企业中提取到大量数据,同时利用其它受到入侵的网络将这些数据隐藏在世界各地。
一系列日本组织机构亦被分别作为针对性打击对象,作为嫌疑最大的攻击方,APT10很可能将自身伪装成为日本政府方面的合法职能实体。
根据面向攻击时间以及所使用之工具与技术进行的取证分析,调查人员得出结论称,该黑客组织可能设立于中国,但除此之外尚不清楚APT10背后的实际人员组成以及为何将矛头指向这些受害组织。
普华永道公司网络威胁检测与响应事务合伙人克里斯·麦康凯表示,这一间接性攻击方法的出现表明,各类组织机构有必要全面了解其可能面临的威胁,特别是来自供应链的威胁因素。
他解释称,这一存在巨大潜在影响结果的全球性黑客活动需要得到高度重视,这意味着世界各地的组织机构应该与其安全小组及供应商保持密切合作,共同检测网络中出现的关键性警告标志并确保具备合理的应对与自我保护能力。
普华永道公司网络安全合伙人理查德·崔恩则补充表示,通过多方共同努力,他们得以向全球各安全机构、托管服务供应商以及已知最终受害者发布了相关发现,以帮助其预防、侦测并应对此类攻击活动。如果单纯凭借其中一方,则他们根本无法发现这一新型间接性攻击活动。
目前英国国家网络安全中心(NCSC)和澳大利亚国家网络安全中心(ACSC)已经对所在国的企业发布相关安全告警。
E安全读者可在微信公众号内回复“APT10”下载《以云为跳板——新一轮持续性全球网络间谍活动》原文报告。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱[email protected]