Cloud Hopper - vilka är bakom och hur fungerar den?

En ny rapport från PwC Storbritannien och BAE Systems har avslöjat en avancerad cyberattack med vad de anger som ”enorm storlek och omfattning” inriktad mot MSP (Managed Service Providers), företrädesvis molntjänster. Kampanjens (som benämns som Operation Cloud Hopper) främsta motiv är spionage och informationsinsamling, vilket framgår av att angriparna har valt ut måltavlor med högt värde och låg profil. 

Författarna till rapporten kunde konstatera att Operation Cloud Hopper nästan säkert är ett verk av en tidigare känd grupp som kallas APT10. APT10-gruppen är redan välkända i cybervärlden, och det är en utbredd uppfattning att de är baserade i Kina.

Med hjälp av kriminalteknisk analys av driftstider och IP-zoner, kunde författarna till rapporten med hög grad av säkerhet identifiera gruppen, deras plats i Kina, och omfattningen av kampanjen. De kunde även skissa upp deras arbetsdag, däribland ”en två timmars lunchrast”.

"Om någon skulle arbeta ensam med detta så skulle inte alla delar av kampanjens indirekta attacker ha upptäckts”, säger Richard Horne, it-säkerhetspartner på PwC, nyligen till BBC.

APT10 verkar vara en väl bemannad, välorganiserad verksamhet med omfattande logistiska resurser. Enligt rapporten använder gruppen en mängd olika program med öppen källkod, skräddarsydd skadlig kod och "spear phishing"-tekniker (riktade attacker för att få tag på information som leder till offrets pengar) för att infiltrera offrens system.

Deras strategi att välja MSP som primärt mål har gett dem ”potentiell tillgång utan motstycke till immateriella rättigheter och känsligt data från dessa MSP samt offrens kunder globalt”, skriver författarna till rapporten. ”Med tanke på nivån av klientnätverksåtkomst som en MSP har, har APT10 fått tillgång till att relativt enkelt kunna utnyttja detta och röra sig i sidled på nätverken av tusentals potentiella andra offer, alltså MSP kunder.”

Luis Corrons, teknisk chef för Pandalabs, påpekar att det vi ser här, det vill säga att noggrant välja mål och anpassa attacker därmed blir allt vanligare för varje dag som går. ”Bortsett från de myriader av gemensamma cyberattacker företag regelbundet måste ta itu med, bevittnar vi också nuförtiden stora ökningar i mängden attacker där cyberbrottslingar faktiskt redan är inne i sina offers nätverk och anpassar sig till offrets försvar och genomför angrepp med kirurgisk precision som de riktar mot specifika tillgångar”, skriver Luis Corrons vidare.

Operation Cloud Hopper kommer vid en tidpunkt då geopolitiska spänningar alltmer korsas över till sfären av cyberspionage och cyberkrigsföring. Även om rapporten inte öppet tyder på att det inte fanns någon inblandning i den del av den kinesiska regeringen, bör det påpekas att inriktningen av diplomatiska och politiska organisationer, samt vissa företag är nära i linje med strategiska kinesiska intressen.

Pandas tjänst Adaptive Defense ger dig en ny typ av skydd mot detta. 

Lyckligtvis är riktade attacker, även de sofistikerade som begås av skickliga grupper som APT10, enkla att kontrollera för Panda Adaptive Defense. Eftersom denna tjänst övervakar absolut allt som händer på alla datorer, kan det stoppa den här typen av attacker proaktivt. Adaptive Defense kan också ge kriminalteknisk information om hot, genom att ge detaljerad och intelligent spårbarhet för allt som händer i ett företags IT-infrastruktur - hotets tidslinje, informationsflöde, beteendet hos aktiva processer, etc.

Adaptive Defense 360 är den första tjänst som kombinerar Next Generation Protection (NG EPP) med detekterings- och saneringsteknik (EDR), vilket ger förmågan att klassificera 100% av alla processer som körs. Med denna innovativa teknik är det därför möjligt att upptäcka och blockera skadlig kod som andra skyddssystem missar.