報告稱中國黑客組織APT10攻擊全球各IT服務供應商

更多全球網路安全資訊盡在E安全官網www.easyaq.com

E安全4月5日訊 普華永道與BAE Systems（BAE系統公司，世界第三大軍工企業）聯合發布了一份名為《以云為跳板——新一輪持續性全球網路間諜活動》的報告，懷疑某個來自中國的黑客組織可能正是一系列針對託管服務供應商之攻擊活動的幕後黑手，而其計劃利用此類方式從託管服務商之客戶手中竊取知識產權。

這一被稱為APT10（也被稱為石熊貓，Stone Panda）的黑客組織利用自定義惡意軟體與魚叉式網路釣魚攻擊獲取受害者系統的訪問權。

一旦APT10滲透進網路，就會進行偵查確保在部署mimikatz（抓取Windows密碼的工具）或PwDump（Windows密碼破解和恢復工具）之前獲取合法憑證，以從被感染的MSP中竊取額外的憑證、管理員憑證和數據。

MSP基礎設施的共享特性成就了APT10的成功，允許黑客在MSP和客戶端之間秘密活動——因而得名Cloud Hopper。

在順利入侵之後，他們隨即利用目標公司所掌握的憑證對其企業客戶發動進一步攻擊。

目前APT10利用這種攻擊手段對美國、加拿大、英國、法國、瑞士、南非、斯堪的納維亞、泰國、韓國、印度和日本等國家發動過網路攻勢。

APT10的攻擊步驟手法

供應鏈的安全性一直被公認為安全體系中的最大弱點，特別是在2013年，攻擊者曾經利用HVAC服務供應商作為跳板成功入侵了美國Target零售網路。就目前來看，APT10正在以更大的規模使用這種攻擊方式。

普華永道的網路安全實踐部門與BAE Systems配合英國國家網路安全中心（簡稱NCSC）共同發現了該黑客組織的行跡。

這一間諜活動的規模只在2016年年末才有所體現，不過該間諜活動被認為是迄今為止全球範圍內規模最大的持續性網路間諜行為之一。

普華永道與BAE Systems方面表示，APT10通過攻擊外包IT託管服務供應商的方式，向其全球各客戶發動間諜活動，並藉此獲得了前所未有的大規模知識產權與敏感數據。

據稱，該黑客組織曾於2014年進行過此類活動，並在2016年年初大幅提高活動規模，包括增加新的開發者與入侵操作人員以不斷提升攻擊能力。

普華永道與BAE Systems方面表示，APT10已經從多家受害者企業中提取到大量數據，同時利用其它受到入侵的網路將這些數據隱藏在世界各地。

一系列日本組織機構亦被分別作為針對性打擊對象，作為嫌疑最大的攻擊方，APT10很可能將自身偽裝成為日本政府方面的合法職能實體。

根據面向攻擊時間以及所使用之工具與技術進行的取證分析，調查人員得出結論稱，該黑客組織可能設立於中國，但除此之外尚不清楚APT10背後的實際人員組成以及為何將矛頭指向這些受害組織。

普華永道公司網路威脅檢測與響應事務合伙人克里斯·麥康凱表示，這一間接性攻擊方法的出現表明，各類組織機構有必要全面了解其可能面臨的威脅，特別是來自供應鏈的威脅因素。

他解釋稱，這一存在巨大潛在影響結果的全球性黑客活動需要得到高度重視，這意味著世界各地的組織機構應該與其安全小組及供應商保持密切合作，共同檢測網路中出現的關鍵性警告標誌並確保具備合理的應對與自我保護能力。

普華永道公司網路安全合伙人理查德·崔恩則補充表示，通過多方共同努力，他們得以向全球各安全機構、託管服務供應商以及已知最終受害者發布了相關發現，以幫助其預防、偵測並應對此類攻擊活動。如果單純憑藉其中一方，則他們根本無法發現這一新型間接性攻擊活動。

目前英國國家網路安全中心（NCSC）和澳大利亞國家網路安全中心（ACSC）已經對所在國的企業發布相關安全告警。

E安全讀者可在微信公眾號內回復「APT10」下載《以云為跳板——新一輪持續性全球網路間諜活動》原文報告。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱eapp@easyaq.com