דיווח: קבוצת האקרים סינית פרצה לספק שירותי תוכנה אירופאי המשרת מאות אלפי לקוחות בעולם
עמי רוחקס דומבה
| 12/02/2019
https://www.recordedfuture.com/apt10-cyberespionage-campaign/
החדירה לרשת של ויסמה התבצעה ב -17 באוגוסט 2018, כך על פי דו"ח משותף שפורסם היום על ידי חברות האבטחה האמריקאית Rapid7 ו- Future Record. לפי הפרסום, מדובר בקמפיין מתמשך לאיסוף מידע בסייבר המכוון לפחות לשלוש חברות בארה"ב ובאירופה. הקמפיין שנחשף על ידי חברות המחקר התנהל בין נובמבר 2017 לספטמבר 2018.
"על סמך הנתונים הטכניים שנחשפו, ולאור הגילויים האחרונים של משרד המשפטים האמריקאי בנושא פעילות מתמשכת של שחקני איום בחסות המדינה הסינית, אנו מעריכים בביטחון רב כי התקריות הללו בוצעו על ידי APT10 (הידוע גם בשם סטון פנדה, menuPass, CVNX) במאמץ כדי לקבל גישה לרשתות לגנוב קניין רוחני יקר או להשיג יתרון מסחרי", כותבים בפרסום של recordedfuture.
בקמפיין, התוקפים פרצו לספק שירותי IT נורווגי בשם Visma המשרת כ850000 לקוחות בעולם, חברת הלבשה בינלאומית ומשרד עורכי דין בארה"ב בעל נסיון רב בתחום דיני הקניין הרוחני עם לקוחות בתחומי התרופות, הטכנולוגיה, האלקטרוניקה, הביו-רפואה, הרכב ועוד. בכל שלושת האירועים, התוקפים קיבלו גישה לרשתות באמצעות פריסות של תוכנת Citrix ו- LogMeIn באמצעות גישה מרחוק ובאמצעות אישורי משתמש תקפים. לאחר מכן ביצעו התוקפים הסלמה של הרשאות על רשתות הקורבנות, תוך ניצול DLL להפצת נוזקה.
בכל שלושת האירועים, השחקנים מקבוצת APT10 הסינית השתמשו באישורים בתעודות שהושגו, אולי באמצעות פריצה קודמת לצד שלישי של שרשרת האספקה על מנת לקבל גישה ראשונית למשרד עורכי דין וחברת ההלבשה.
במקרה של Visma, הכניסה הצליחה אודות לגניבת הרשאות כניסה לסיטריקס משני עובדי חברה. לפי הפרסום, פריסת הכלים הזדוניים בנקודות הקצה ברשת Visma לקחה שבועיים מרגע הגישה הראשונית. גניבת ההרשאות המתאימות בתוך הרשת לקחה גם היא שבועיים וחצי מרגע הגישה הראשונית. התוקפים השתמשו בDropbox לצורך הקמת שרת הפיקוד שממנו נמשכו או הועלו קבצים בהתאמה.
לאחר גניבת ההרשאות התוקפים הורידו את הAD של החברה, וביצעו תזוזה רוחבית להדבקת כלל הרשת. הגישה לרשת החברה בוצעה מרחוק באמצעות שירותי VPN. התוקפים גם בנו לעצמם תשתית יתירה בתוך רשת החברה. "משמעות הדבר היא כי לשחקני APT10 היו שתי נקודות גישה נפרדות לרשת Visma", כותבים החוקרים.
בהיבט לוחות זמנים, פירמת עו"ד נפרצה בסוף 2017. חברת Visma נפרצה באוגוסט 2018. המשמעות היא כי התוקפים היו ברשתות הקורבנות חודשים רבים טרם החשיפה של הפעילות הזדונית.
מסקנה נוספת של המחקר היא כי ככל הנראה צפוי פיצול בקבוצות התקיפה הסיניות בקרוב. כך עולה מפרשנות של חוקרי recorded future המתבססת על הכלים שנמצאו בהתקפה.
https://www.recordedfuture.com/apt10-cyberespionage-campaign/
החדירה לרשת של ויסמה התבצעה ב -17 באוגוסט 2018, כך על פי דו"ח משותף שפורסם היום על ידי חברות האבטחה האמריקאית Rapid7 ו- Future Record. לפי הפרסום, מדובר בקמפיין מתמשך לאיסוף מידע בסייבר המכוון לפחות לשלוש חברות בארה"ב ובאירופה. הקמפיין שנחשף על ידי חברות המחקר התנהל בין נובמבר 2017 לספטמבר 2018.
"על סמך הנתונים הטכניים שנחשפו, ולאור הגילויים האחרונים של משרד המשפטים האמריקאי בנושא פעילות מתמשכת של שחקני איום בחסות המדינה הסינית, אנו מעריכים בביטחון רב כי התקריות הללו בוצעו על ידי APT10 (הידוע גם בשם סטון פנדה, menuPass, CVNX) במאמץ כדי לקבל גישה לרשתות לגנוב קניין רוחני יקר או להשיג יתרון מסחרי", כותבים בפרסום של recordedfuture.
בקמפיין, התוקפים פרצו לספק שירותי IT נורווגי בשם Visma המשרת כ850000 לקוחות בעולם, חברת הלבשה בינלאומית ומשרד עורכי דין בארה"ב בעל נסיון רב בתחום דיני הקניין הרוחני עם לקוחות בתחומי התרופות, הטכנולוגיה, האלקטרוניקה, הביו-רפואה, הרכב ועוד. בכל שלושת האירועים, התוקפים קיבלו גישה לרשתות באמצעות פריסות של תוכנת Citrix ו- LogMeIn באמצעות גישה מרחוק ובאמצעות אישורי משתמש תקפים. לאחר מכן ביצעו התוקפים הסלמה של הרשאות על רשתות הקורבנות, תוך ניצול DLL להפצת נוזקה.
בכל שלושת האירועים, השחקנים מקבוצת APT10 הסינית השתמשו באישורים בתעודות שהושגו, אולי באמצעות פריצה קודמת לצד שלישי של שרשרת האספקה על מנת לקבל גישה ראשונית למשרד עורכי דין וחברת ההלבשה.
במקרה של Visma, הכניסה הצליחה אודות לגניבת הרשאות כניסה לסיטריקס משני עובדי חברה. לפי הפרסום, פריסת הכלים הזדוניים בנקודות הקצה ברשת Visma לקחה שבועיים מרגע הגישה הראשונית. גניבת ההרשאות המתאימות בתוך הרשת לקחה גם היא שבועיים וחצי מרגע הגישה הראשונית. התוקפים השתמשו בDropbox לצורך הקמת שרת הפיקוד שממנו נמשכו או הועלו קבצים בהתאמה.
לאחר גניבת ההרשאות התוקפים הורידו את הAD של החברה, וביצעו תזוזה רוחבית להדבקת כלל הרשת. הגישה לרשת החברה בוצעה מרחוק באמצעות שירותי VPN. התוקפים גם בנו לעצמם תשתית יתירה בתוך רשת החברה. "משמעות הדבר היא כי לשחקני APT10 היו שתי נקודות גישה נפרדות לרשת Visma", כותבים החוקרים.
בהיבט לוחות זמנים, פירמת עו"ד נפרצה בסוף 2017. חברת Visma נפרצה באוגוסט 2018. המשמעות היא כי התוקפים היו ברשתות הקורבנות חודשים רבים טרם החשיפה של הפעילות הזדונית.
מסקנה נוספת של המחקר היא כי ככל הנראה צפוי פיצול בקבוצות התקיפה הסיניות בקרוב. כך עולה מפרשנות של חוקרי recorded future המתבססת על הכלים שנמצאו בהתקפה.
