資誠會計師事務所近期與資安業者BAE Systems合作,揭發一個名為「雲端跳躍行動」(Operation Cloud Hopper)的新型態駭客攻擊手法,駭客藉由入侵IT代管服務供應商(Managed IT Service Provider,MSP),竊取MSP業者的客戶智慧財產和商業機密。
資誠表示,這個惡名昭彰的駭客組識APT10,其別名包括MenuPass、Stone Panda、Red Apollo及CVNX等,曾針對日本、印度、澳洲、美國、加拿大等15個國家的MSP業者進行攻擊,鎖定的目標領域包括工程、科技、零售、能源與礦業,製藥與生命科學及政府機構等。
資誠指出,APT10不僅攻擊具有高經濟價值的系統,同時也在非執行關鍵任務(non-critical support function)的系統上安裝惡意程式,降低被發現的風險。為了確保可以持續存取受害者主機系統,除了持續安裝及更新惡意程式外,駭客也利用系統排程(ScheduleTask)或Windows的服務來維持惡意程式的運作,使其不受系統重新啟動的影響。
此外,在感染其它系統的過程中,一旦發現該系統沒有對外連網的能力時,駭客還會刪除系統中的惡意程式,湮滅證據。
資誠企業管理顧問公司執行董事張晉瑞表示,相較於過往駭客鎖定目標逐一進行直接攻擊的方法,這種新型態的跳板攻擊方式,讓駭客只要攻陷一家MSP業者,就能利用客戶端資訊基礎設施共享的特性,在MSP與其及客戶之間做橫向跳躍,竊取大量目標客戶的機敏資料。
張晉瑞表示,這種間接式的攻擊手法大大增加駭客的入侵成效,讓這些協助客戶管理其資訊系統的委外代管業者,成為駭客的箭靶;MSP的服務就如同用一個籃子裝著許多雞蛋,一旦該籃子不安全,裡面的蛋也會遭殃。
張晉瑞也提醒,企業不宜把所有的資安期待寄託在MSP業者身上,企業資源有限,應該要先評估什麼是「皇冠上的寶石」,找出對企業最重要的資產並分類分級,排出優先順序,採用不同層級的保護,例如透過安全的加密方式保護核心資產,避免將機敏資料未經保護的放在雲端平台上,以免一旦MSP業者被攻陷,企業機敏資料也跟著外洩。