藉侵入雲端業者網路,中國駭客集團 APT10 活動足跡比原先想的還要大

作者 | 發布日期 2020 年 01 月 02 日 15:58 | 分類 資訊安全 , 雲端 Telegram share ! follow us in feedly


駭客神出鬼沒,而公有雲的商業模式,卻加劇駭客入侵造成的危害程度。原先以為的中國駭客集團 APT10 入侵狀況,因為陸陸續續發現他們更多蹤影,比原先推測的影響還要大。

華爾街日報的調查報導追查散落各處的線索,輔以訪談政府、科技公司人員,發現 APT10 做出比原先以為還要大的事情。APT10 因為他們在雲端上面鬼鬼祟祟的形跡,而被暱稱為雲端跳躍手 (Cloud Hopper)。FBI 探員 Orin Paliwoda 就形容它們的蹤跡就像一般的網路流量,增加追查行動的困難度。

其中企業軟體公司 HPE 的網路被反覆進入,儘管查到一次入侵清除了,但後續仍然有漏洞給予駭客機會再次進入。而且更糟糕的事情是,連 HPE的資安事件反應小組也被滲透,導致駭客非常清楚資安調查的進度。

據信 IBM 的雲端服務也被入侵,但目前不清楚細節和時間點,也不清楚受害的客戶情形。

HPE 和 IBM 以及其他採區域型態服務的雲端業者如 CGI 集團、Tieto Oyj,成為 APT10 下手的目標,其客戶分布在各行各業,例如保險、航空、金融等,不少知名公司如礦業公司 Rio Tinto、電器和健康照護的飛利浦、美國航空、德意志銀行、保險公司安聯集團和製藥與保健用品公司葛蘭素史克等。

由於 APT10 活躍其間正好是 HPE 分拆 DXC 公司的時候,因此不少人好奇是否 DXC 也受到影響,不過 DXC 人員說他們沒受到 APT10 影響。

由於 APT10 侵入不少家雲端業者的網路,因此 FBI 局長 Christopher Wray 形容 APT10 像是掌握整棟公寓大樓的主鑰匙,進去大樓後能一個一個再想辦法進入各個公寓房間。其他美國政府官員匿名說法,則是 APT10 握有 10 萬筆美國海軍的人事紀錄。

PricewaterhouseCoopers 的資安事件調查員 Kris McConkey 在一家跨國顧問業客戶發現 APT10 的攻擊行動,原先以為只是一次性的攻擊行動,但後來在其他家客戶那邊進行調查,卻發現一樣的攻擊模式,因此懷疑背後是同一批人所為。

2017 年年初,由資安公司、被入侵的雲端公司,還有其他的受害公司,一起合作展開反擊。除了共同受害的經驗之外,還有不少家公司面臨西方政府的壓力,因而願意揭露家醜,分享情資,共同面對來調查潛伏的駭客。

而於中美大打貿易戰時機敏感,來自中國的駭客增加美國政府整體談判的複雜度,要揭露資訊到何種程度,以及是否要起訴所有涉入的中國人,其中有不少位與中國情報單位有關聯,引發美國政府內部相當激烈的討論。最後美國政府決定起訴朱華 (Zhu Hua)、張士龍 (Zhang Shilong) 兩位,罪名則是涉入陰謀、詐騙和假冒身分。

▲ 2018 年年底美國司法部起訴兩名中國駭客。(Source:美國司法部)

朱華、張士龍兩位應當都在中國境內,面臨美國政府加總 27 年的徒刑量刑,但中美雙方也並無引渡協議,導致美方起訴歸起訴,並無法拿兩人怎樣。據美國情報界攔截的消息,兩人還慶祝他們名列美方緝拿的要犯名單當中。

▲ FBI 的懸賞通報要緝拿 APT10 的兩名駭客。(Source:FBI)

目前 APT10 竊取的人員名單,並沒有流入暗網兜售,因此極高的可能性是國家力量在背後的駭客所為。APT10 看來會鎖定基礎建設業務的公司下手,想辦法從得到的情報當中,在籌劃進行下一步的行動。

(首圖來源:pixabay)

延伸閱讀:

關鍵字: ,