pwc的报告“云斗行动”称 我国黑客正在攻击14个国家的可管理服务提供商

普华永道近日发布了一份报告《Operation Cloud Hopper》,称我国的黑客正在发起一场大规模攻击行动,瞄准了至少14个国家的可管理服务供应商。这场攻击被与名为APT10的组织联系在一起,并被认为针对中国之外的国家。结合到近日普华永道解读网络安全法 建议企业从3个阶段进行应对 你们到底要做什么?

报告前言如下

Since late 2016, PwC UK and BAE Systems have been assisting victims of a new cyber espionage campaign conducted by a China-based threat actor. We assess this threat actor to almost certainly be the same as the threat actor widely known within the security community as ‘APT10’. 

The campaign, which we refer to as Operation Cloud Hopper, has targeted managed IT service providers (MSPs), allowing APT10 unprecedented potential access to the intellectual property and sensitive data of those MSPs and their clients globally. 

A number of Japanese organisations have also been directly targeted in a separate, simultaneous campaign by the same actor.

普华永道的报告暗示APT10攻击收到政府资助

与往常的类似报告一样,这些结论都建立在间接证据的基础上。报告作者详细列出了指向APT10的历史证据,以及表明攻击来自中国时区的域名注册时间证据。作者没说APT10受政府控制,但作者所描绘的场景暗示这个组织至少接受政府赞助。

作为历史证据的一部分,此次攻击所用恶意软件与此前归咎APT10的攻击所用恶意软件重叠。据信,该组织在转向PlugX之前主要使用Poison Ivy,并有9个月的时间同时使用两者。大约从2016年年中开始,该组织开始“更换工具”,现在正在使用PlugX、ChChes、Quasar和RedLeaves。

这篇报告有两个大的观点:组织机构仍未充分保护供应链的现实,以及中美、中英间抑制经济间谍的协议不复存在的可能性。

报告描绘了鱼叉攻击场景

在作者的描绘中,行动采用经过精心研究的鱼叉式钓鱼攻击,首先攻入可管理服务供应商。在这里,他们获得合法凭证,访问符合APT10目标定义的供应商客户网络——报告作者声称该目标定义切合中国当前的经济增长五年计划。

一旦进入目标网络,攻击者横向移动,以找到感兴趣的特定数据。数据被收集并压缩,然后搬运回可管理服务供应商,最后发回受攻击者控制的服务器。这是典型的供应链攻击,在概念上类似于标志性的目标攻击(Target Breach)。组织机构在本身安全性上通常做得越来越好,但在供应商——此例中指可管理服务供应商——安全方面仍然很松懈。

MWR InfoSecurity高级安全顾问Donato Caitella警告说:

“对组织机构来说,根本问题是要认识到改善自身安全有必要但并不足够,特别是当他们愿意将IT系统与有安全缺陷的第三方交织在一起时。如果不希望看到安全投资被合作伙伴微不足道的安全疏漏败坏,组织机构必须要求更高的安全标准。同时,显著提高安全水平的第三方供应商会随着时间推移而更受青睐,毫无疑问会在将来拿到大单。”

发表评论