駭客入侵IT代管服務商，藉由供應鏈滲透目標攻擊對象

• 發布日期：108-11-28
• 發布單位：刑事警察大隊

普華永道(PricewaterhouseCoopers, PwC)、BAE Systems與英國國家網路安全中心(National Cyber Security Centre, NCSC)在2017/4共同公布了一份資安研究報告，指出惡名昭彰的中國駭客集團APT10正藉由IT代管服務供應商(Managed IT Service Providers, MSPs)入侵全球企業並竊取機密資訊。APT10屬於長期部署且有特定攻擊對象的進階持續威脅(Advanced Persistent Threat, APT)駭客組織，它有各種別名，包括MenuPass、Red Apollo、POTASSIUM或Stone Panda等。過去APT10的攻擊手法主要是藉由魚叉式網釣(Spear Phishing)來攻擊目標企業或政府的員工，但最新研究卻顯示APT10現是滲透攻擊目標的供應鏈展開間接攻擊。
該報告將APT10的新型態手法稱為「雲端跳躍行動」(Operation Cloud Hopper)，該行動是先滲透IT代管服務供應商，以這些服務商作為跳板再攻擊它們位於全球的客戶。雖然此一手法一直到2016年才現身，但很可能從2014年便開始，只是APT10於2016年進一步擴大了規模並大幅改善攻擊能力。APT10的目的是竊取目標對象的智慧財產或是機密資訊，且橫跨全球市場。研究認為，鎖定MSPs對APT10來說是個投資報酬率極高的手法，因為只要成功入侵一家MSP，就可能獲得數千家的潛在攻擊對象，是一個蒐集全球機密資訊的高效途徑。英國除了發現不少境內組織成為APT10的攻擊目標之外，也揭露APT10同時正針對不少日本組織展開直接攻擊，包括偽造日本政府的官方網站以進行網釣。PwC並指出，雲端跳躍行動突顯了全球組織應全面審查包括供應鏈在內的各種安全風險的必要性。
資料來源參考：
http://pwc.blogs.com/press_room/2017/04/pwc-collaborates-with-public-and-private-sector-partners-to-uncover-new-sustained-global-cyber-espio.html
http://baesystemsai.blogspot.tw/2017/04/apt10-operation-cloud-hopper_3.html
http://www.ithome.com.tw/news/113259
完整報告請參閱：
https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-report-final-v3.pdf
參考網站：
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=15942