中国黑客集团通过IT MSP瞄准公司

安全研究人员发现了通过托管服务提供商（MSP）通过托管服务提供商（MSP）的网络间谍活动。

PricewaterhouseCooper的（PWC）网络安全实践与裴系统和安全社区的其他成员密切合作，以及英国的国家网络安全中心（NCSC），揭示和扰乱被认为是最大的持续全球网络视野之一竞选，配音操作云料斗。

自2016年底以来，普华永道和裴系统一直在合作研究威胁，简要介绍全球安全社区，并协助已知的受害者。活动背后的威胁演员在安全社区中众所周知，作为“APT10”，但在普华永道英国称为“红阿波罗”。

根据PWC / BAE报告的联合报告，APT10自2016年初以来的规模和能力显着提高，包括添加自定义工具。

研究人员发现，APT10在2013年Fireeye报告之后停止了毒药常春藤恶意软件系列，该报告全面详细详细说明了恶意软件的功能和功能，以及其几个基于中国的威胁演员的使用​​，包括APT10。

APT10主要使用2014年至2016年的Plugx Malware，逐步改进和部署较新版本，同时标准化其命令和控制功能。此外，研究人员观察了使用定制恶意软件以及开源工具的转变，这些工具已被定制，以改善其功能，这可能表示可能表明复杂程度的增加。

间谍活动有针对性管理MSP，可能允许APT10集团前所未有地访问这些MSP的知识产权和敏感数据及其世界各地的客户。

该活动提供了一个有用的提醒，即NCSC表示，需要管理组织的整个供应链，并且组织不能将其风险外包给NCSC，添加了MSP对攻击者特别有吸引力，因为它们通常具有对系统和数据的高度特权访问权限。

“作为您的采购的一部分，您应该确保您的服务提供商将其安全性管理到广泛相当于您期望的内部功能的水平。NCSC表示，这一事件提供了重新讨论这些讨论的有用推动力。“

根据研究人员，这种间接的达到许多目标的间接方法展示了网络间谍活动的新成熟水平，强调了公司直接或通过其供应链全面了解所有网络威胁的公司的重要性。

研究人员还发现了一个平行的运动，针对许多日本组织，APT10伪装成合法日本政府实体获取访问。

“这种类型的攻击与2017年3月的ABTA袭击不相似，供应商的基础设施是目标，”网络安全公司Vectrad网络总监Matt Walmsley欧洲，中东和非洲。

“它突出了为什么公司需要支持IT安全专业人员的技术，这些技术可以帮助他们发现在宝贵的数据中扰乱或走出门之前的漫长游戏攻击的微妙细微差别。

“从现在开始的一年，如果这些暑船一直在发生，欧盟的公司也可以发现自己在GDP [一般数据保护法规]下的重大罚款，以及丧失声誉丧失的长期价值破坏知识产权，“他说。

MWR InfoSecurity的高级安全顾问Donato Capitella表示，目标第三方为攻击者提供了更容易，较低的电阻路径，进入属于其较大的临界目标的IT系统。

“组织对组织来说是至关重要的，因为提出了自己的安全姿势是必不可少的，而不是足够的，特别是如果他们愿意与第三方交织的IT系统，其安全姿势不足。

“如果他们不希望查看他们的合作伙伴的琐碎的安全错误，他们不想授权更高的安全标准。

“与此同时，第三方可以显着加强他们的安全游戏将会随着时间的推移而受到最受欢迎的是，无疑将在未来赢得重要联系的机会，”他说。

NCSC已通知托管服务提供商信息交换（MSPIE）的所有成员以及英国网络安全信息共享合作伙伴关系（CISP）的成员。

NSCS表示任何组织，其MSP不是MSPIE或CISP的成员应该鼓励他们加入以获取此信息。

鉴于这些攻击专门针对MSPS的事实，组织应确保其MSP在咨询文件中将其MSP部署在其监测系统上的妥协指标。

组织也建议特别注意与其MSP的任何网络连接，例如VPN终止，并审查他们的独立审核日志，以确定在MSP访问的上下文中是否已在公司系统上执行任何可疑活动。

“您应该联系您的MSP并讨论对这些攻击的回应，包括是否以及如何受到影响。您应该确保您的MSP正在努力调查他们是否受到损害，以及任何此类妥协对客户的影响。NCSC表示，不要接受来自提供商的断言，而是要求证据。“

NCSC还发布了以下建议：