外媒污蔑一个名为APT10的中国民族黑客组织已经从挪威公司Visma攻击并窃取了数据,该公司为欧洲公司提供基于云的商业软件解决方案。
根据美国网络安全公司Rapid7和Recorded Future(两家威胁情报公司)今天发布的一份联合报告,对Visma网络的侵入发生在2018年8月17日。
根据该报告,政府支持的黑客通过使用Visma员工用来访问公司内部网络的Citrix远程访问软件客户端的盗用有效用户凭证来破坏公司的内部网络。
一旦入侵,他们就会部署两个恶意软件--Trochilus远程访问木马和Uppercut(Anel)后门 - 来搜索,收集和泄露Visma的数据。
这家挪威公司今天在其网站上发布的一份声明中正式承认了这一行为。该公司表示,黑客只窃取内部Visma数据,并且“他们的客户系统都没有受到影响。”
Recorded Future和Rapid7认为,在APT10入侵之前的早期阶段就发现了入侵,黑客可能会滥用窃取的数据,通过对Visma的云软件进行后门处理或滥用,以便在客户的内部网络上立足而将感染升级为Visma客户。
Visma还表示,入侵是由他们自己的情报系统确定的,已确认并与Rapid7的数据相关联,并在Recorded Future的帮助下进一步调查。
Visma是欧洲最大的基于云的托管服务提供商(MSP)之一,拥有超过850,000名客户,净收入超过10亿美元(2017年)。
其他两家公司也被入侵
Rapid7还根据Visma事件响应期间收集的数据确定了其他APT10黑客攻击。专家表示,同一个中国黑客组织也入侵了一家帮助中国公司进入美国市场的美国律师事务所(2017年底)和一家国际服装公司(2018年初)。
这些黑客攻击是2017年开始的更大规模的APT10黑客攻击的一部分,目标公司遍布全球,但主要是云提供商。
自2017年以来,美国政府当局和私人网络安全部门一直在警告这种黑客行为 - 他们代号为Cloudhopper。
2018年12月,美国司法部指控两名中国公民,他们认为他们是APT10的一部分,因为这些公司涉及45家美国公司以及其他11个国家的众多公司。
据悉,至少有九家云提供商被黑客入侵。在撰写本文时,我们现在知道三个名称--IBM,HPE和现在的Visma。
澳大利亚,加拿大,日本,新西兰,美国和英国都正式指控和谴责中国的黑客狂欢,但中国方面否认所有指控。
【编者注1】以上报道也并非子虚乌有,Recorded Future公司发布了详细的取证分析报告,对所谓“中国黑客”所使用的入侵工具、驻留程序等进行了反汇编解析,对程序所使用的加密密钥、命令和控制结构进行了分析和发布,详细报告可以通过下面的链接下载学习和研究:
https://mega.nz/#!GzpmxQzB!gq38oerRYXobd6dAkGNRD12K6mf7qd2Sat38pKZ_7HI
【编者注2】以美国为首的西方所谓文明国家,正在全方位对中国施压,无所不用其极,编造谎言。在网络世界,主权的边界在哪里?
领取专属 10元无门槛券
私享最新 技术干货