資誠揭發駭客攻擊新手法：入侵IT代管服務供應商 竊取客戶機敏資料

2017-04-20

資誠與資安業者BAE Systems合作，揭發一個名為「雲端跳躍行動」(Operation Cloud Hopper) 的新型態駭客攻擊手法，駭客藉由入侵IT代管服務供應商(Managed IT Service Provider，MSP)，竊取MSP業者的客戶智慧財產和商業機密。

這個惡名昭彰的駭客組識APT10(其別名包括MenuPass、Stone Panda、Red Apollo及CVNX等)，針對日本、印度、澳洲、美國、加拿大等15個國家的MSP業者進行攻擊，鎖定的目標領域包括工程、科技、零售、能源與礦業，製藥與生命科學及政府機構等。

報告指出，駭客首先利用魚叉式網路釣魚(Spear Phishing)手法，以電子郵件方式誘騙攻擊目標的員工點擊打開帶有惡意程式的附件或惡意網站進行入侵，並感染其它系統。一旦取得系統管理員或網域管理員權限後，駭客以便可以橫向移動並存取MSP及其客戶的共享系統及資訊基礎設施，再透過資料壓縮等方式，將機敏資料送回到駭客手中。

APT10不僅攻擊具有高經濟價值的系統，同時也在非執行關鍵任務(non-critical support function)的系統上安裝惡意程式，降低被發現的風險。為了確保可以持續存取受害者主機系統，除了持續安裝及更新惡意程式外，駭客也利用系統排程(Schedule Task)或Windows的服務(Service)來維持惡意程式的運作，使其不受系統重新啟動的影響。此外，在感染其它系統的過程中，一旦發現該系統沒有對外連網的能力時，駭客還會刪除系統中的惡意程式，湮滅證據。

資誠企業管理顧問公司執行董事張晉瑞表示，相較於過往駭客鎖定目標逐一進行直接攻擊的方法，這種新型態的跳板攻擊方式，讓駭客只要攻陷一家MSP業者，就能利用客戶端資訊基礎設施共享的特性，在MSP與其及客戶之間做横向跳躍，竊取大量目標客戶的機敏資料。這種間接式的攻擊手法大大增加駭客的入侵成效，讓這些協助客戶管理其資訊系統的委外代管業者，成為駭客的箭靶。MSP的服務就如同用一個籃子裝著許多雞蛋，一旦該籃子不安全，裡面的蛋也會遭殃。

張晉瑞強調，這類新型態駭客攻擊手法凸顯了企業使用第三方服務所帶來的風險，當這些服務不可避免地融入企業的日常營運中時，企業應該更謹慎評估其所帶來的風險。過去駭客鎖定目標透過並各種方式如APT (Advanced Persistent Threat，進階持續威脅)進行攻擊，受害者可能是單點，攻擊範圍有限。

當雲端服務興起，企業為了降低IT維運成本並專注在其核心業務時，進而大量使用第三方服務，「間接入侵」這種跳板式的攻擊，成為駭客的新歡，駭客只要集中火力攻擊服務供應商如MSP業者，一旦攻陷成功，其背後代表的是同時攻陷了MSP業者的客戶資訊系統，影響層面非常廣泛。

張晉瑞提醒，企業不宜把所有的資安期待寄託在MSP業者身上，企業資源有限，應該要先評估什麼是「皇冠上的寶石」，找出對企業最重要的資產並分類分級，排出優先順序，採用不同層級的保護，例如透過安全的加密方式保護核心資產，避免將機敏資料未經保護的放在雲端平台上，以免一旦MSP業者被攻陷，企業機敏資料也跟著外洩。

此外，張晉瑞建議，MSP業者也應該強化員工的資安警覺性，降低駭客透過社交工程手法入侵的機率，並重新檢討其資安防護機制，避免駭客一旦取得單一的系統管理員或網域管理員權限後，就可以如入無人之境進行横向移動。

Notes to Editor

《Operation Cloud Hopper》報告於2017年4月發表，資誠及BAE Systems已經和英國國家網路安全中心(National Cyber Security Centre，NCSC)，根據其資安事件危機回應(Certified Incident Response)計畫進行合作，通知MSP業者，已知受響影的組識及和其他國家機構。

• 更多有關《Operation Cloud Hopper》，請至：https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-report-final-updated.pdf