Китайские хакеры атакуют организации через их облачных провайдеров

Специализирующаяся на кибершпионаже китайская хакерская группировка взяла на вооружение инновационный способ осуществления кибератак. Сначала злоумышленники взламывают сети провайдеров облачных сервисов, которыми пользуется атакуемая организация, и только потом с помощью одобренных провайдером каналов связи проникают в корпоративную сеть самой организации.

Группировка активна с 2009 года и известна ИБ-экспертам под разными названиями – APT10 (FireEye), Red Apollo (PwC), CVNX (BAE Systems), Stone Panda (CrowdStrike), POTASSIUM (Microsoft) и MenuPass (Trend Micro). До нее никто не использовал подобный метод атаки. Как правило, все известные кибершпионские группировки, независимо от происхождения, используют провайдеров только для хранения вредоносного ПО или в качестве пунктов для передачи похищенных данных.

Раньше APT10 отдавала предпочтение классическим методам, включая целенаправленные фишинговые атаки на сотрудников атакуемых организаций. Тем не менее, в последнее время все больше компаний стали пользоваться услугами провайдеров облачных сервисов, и хакеры решили не упустить открывшиеся возможности.

В конце прошлого года исследователи компаний BAE и PwC обнаружили изменения в тактике APT10. Вместо атак на сотрудников, имеющих доступ к корпоративной сети, хакеры переключились на работников компаний, предоставляющих услуги облачных сервисов. В отличие от хорошо защищенных корпоративных сетей промышленных предприятий и правительственных организаций, сети провайдеров куда легче взломать и не попасться.

Жертвами APT10 стали организации в Великобритании, США, Индии, Японии, ЮАР, Франции, Бразилии, Канаде, Австралии, Южной Корее и Таиланде. В ходе атак злоумышленники использовали популярное у китайских кибершпионов вредоносное ПО PlugX,а также новый эксклюзивный троян RedLeaves.

Источник