zurück zur Übersicht

APT10: 5-Jahres-Plan für Hacking

Weltweiter Angriff auf Managed Security Services Provider

APT10: Kung-Fu per APT gegen Managed Services Provider weltweit.

In ihrem mehrseitigen Bericht „Operation Cloud Hopper“ beschreiben PwC und BAE Systems den weltweit verteilten Angriff des s.g. „APT10“ Teams auf Managed Service Provider (MSP) und deren Kunden. Dabei wurden eine Reihe von japanischen Organisationen auch direkt gezielt angegriffen. Hierbei wurden bereits in 2014 gezielt MSP Netze zum Ziel der scheinbar staatlich organisierten Aktion, um durch geschickten Einsatz von Malware in die Kundennetzwerke der Provider einzudringen. Dabei machten sich die Angreifer die geteilte IT-Infrastruktur zwischen MSP und Endkunden zunutze, also diejenigen Übergangspunkte an denen der MSP sich in das Netzwerk seiner Kunden einhängt.

Poison Ivy, PlugX, bessere C&C-Server & Spear-Phishing

Dabei wurde die Leistungsfähigkeit in 2016 nochmals deutlich erhöht, sowohl in Form der Weiterentwicklung von bekannter Malware wie Poison Ivy und PlugX als auch durch spezifische Anpassungen und Erweiterung der Command and Control Server auf die genannten Ziele. Die Infrastruktur der Command & Control Server wurde dabei primär durch den Einsatz von Dynamic DNS Netzen gesteuert, welche bereits aus anderen Bereichen der gleichen Gruppe bekannt waren. Der initiale Angriffsvektor waren aber auch hier, einmal mehr, gezielte Spear Phising Angriffe – also der klassische Weg eines APTs (Advanced Persistend Threat) Angriffsmodells zur Infiltration (mehr zu Spear Phishing in unserem Beitrag).

APT10 Angriffe auf Fokusbranchen

Eine weitere Besonderheit ist die auch die Exfiltration der Daten der avisierten Zielsysteme: Auch hier wurde, wie schon bei der Infiltration, wieder der Weg über den MSP gewählt, um die erbeuteten Informationen abzuziehen. Ein politisches Schmankerl wird das Thema durch eine große Deckungsgleichheit der betroffenen  Branchen der APT10 Angriffe und den Fokusbranchen des Fünf-Jahresplan für Innovation der Volksrepulik China, wie z.B. Aerospace, Energieversorgung, Neue Materialien, Medizintechnik, Robotik oder Next Generation IT.

Der Report macht für Unternehmen deutlich, wie wichtig das Security Maturity Level einer Organisation ist. Es wird auch deutlich, wie wichtig eine eingehende Prüfung des Dienstleisters für managed services ist, um nicht Opfer eines Diebstahls von wichtigen Daten zu werden. Spezialisten können Unternehmen auch in Fragen der Konzeption und der Realisierung von sicheren Anbindungen zu Service Providern und Zulieferern unterstützen.

 


 

Quelle: https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-report-final-v4.pdf

Schreibe einen Kommentar