Хакеры взламывают сети провайдеров, а затем с помощью их каналов связи проникают в сети атакуемых организаций.
Специализирующаяся на кибершпионаже китайская хакерская группировка взяла на вооружение инновационный способ осуществления кибератак. Сначала злоумышленники взламывают сети провайдеров облачных сервисов, которыми пользуется атакуемая организация, и только потом с помощью одобренных провайдером каналов связи проникают в корпоративную сеть самой организации.
Группировка активна с 2009 года и известна ИБ-экспертам под разными названиями – APT10 (FireEye), Red Apollo (PwC), CVNX (BAE Systems), Stone Panda (CrowdStrike), POTASSIUM (Microsoft) и MenuPass (Trend Micro). До нее никто не использовал подобный метод атаки. Как правило, все известные кибершпионские группировки, независимо от происхождения, используют провайдеров только для хранения вредоносного ПО или в качестве пунктов для передачи похищенных данных.
Раньше APT10 отдавала предпочтение классическим методам, включая целенаправленные фишинговые атаки на сотрудников атакуемых организаций. Тем не менее, в последнее время все больше компаний стали пользоваться услугами провайдеров облачных сервисов, и хакеры решили не упустить открывшиеся возможности.
В конце прошлого года исследователи компаний BAE и PwC обнаружили изменения в тактике APT10. Вместо атак на сотрудников, имеющих доступ к корпоративной сети, хакеры переключились на работников компаний, предоставляющих услуги облачных сервисов. В отличие от хорошо защищенных корпоративных сетей промышленных предприятий и правительственных организаций, сети провайдеров куда легче взломать и не попасться.
Жертвами APT10 стали организации в Великобритании, США, Индии, Японии, ЮАР, Франции, Бразилии, Канаде, Австралии, Южной Корее и Таиланде. В ходе атак злоумышленники использовали популярное у китайских кибершпионов вредоносное ПО PlugX,а также новый эксклюзивный троян RedLeaves.
Сбалансированная диета для серого вещества