骇客神出鬼没,而公有云的商业模式,却加剧骇客入侵造成的危害程度。原先以为的中国骇客集团 APT10 入侵状况,因为陆陆续续发现他们更多踪影,比原先推测的影响还要大。
华尔街日报的调查报导追查散落各处的线索,辅以访谈-、科技公司人员,发现 APT10 做出比原先以为还要大的事情。APT10 因为他们在云端上面鬼鬼祟祟的形迹,而被昵称为云端跳跃手 (Cloud Hopper)。FBI 探员 Orin Paliwoda 就形容它们的踪迹就像一般的网络流量,增加追查行动的困难度。
其中企业软件公司 HPE 的网络被反复进入,尽管查到一次入侵清除了,但后续仍然有漏洞给予骇客机会再次进入。而且更糟糕的事情是,连 HPE的资安事件反应小组也被渗透,导致骇客非常清楚资安调查的进度。
据信 IBM 的云端服务也被入侵,但目前不清楚细节和时间点,也不清楚受害的客户情形。
HPE 和 IBM 以及其他采区域型态服务的云端业者如 CGI 集团、Tieto Oyj,成为 APT10 下手的目标,其客户分布在各行各业,例如保险、航空、金融等,不少知名公司如矿业公司 Rio Tinto、电器和健康照护的飞利浦、美国航空、德意志银行、保险公司安联集团和制药与保健用品公司葛兰素史克等。
由于 APT10 活跃其间正好是 HPE 分拆 DXC 公司的时候,因此不少人好奇是否 DXC 也受到影响,不过 DXC 人员说他们没受到 APT10 影响。
由于 APT10 侵入不少家云端业者的网络,因此 FBI 局长 Christopher Wray 形容 APT10 像是掌握整栋公寓大楼的主钥匙,进去大楼后能一个一个再想办法进入各个公寓房间。其他美国-官员匿名说法,则是 APT10 握有 10 万笔美国海军的人事纪录。
PricewaterhouseCoopers 的资安事件调查员 Kris McConkey 在一家跨国顾问业客户发现 APT10 的攻击行动,原先以为只是一次性的攻击行动,但后来在其他家客户那边进行调查,却发现一样的攻击模式,因此怀疑背后是同一批人所为。
2017 年年初,由资安公司、被入侵的云端公司,还有其他的受害公司,一起合作展开反击。除了共同受害的经验之外,还有不少家公司面临西方-的压力,因而愿意揭露家丑,分享情资,共同面对来调查潜伏的骇客。
而于中美大打贸易战时机敏感,来自中国的骇客增加美国-整体谈判的复杂度,要揭露资讯到何种程度,以及是否要起诉所有涉入的中国人,其中有不少位与中国情报单位有关联,引发美国-内部相当激烈的讨论。最后美国-决定起诉朱华 (Zhu Hua)、张士龙 (Zhang Shilong) 两位,罪名则是涉入阴谋、诈骗和假冒身份。
▲ 2018 年年底美国司法部起诉两名中国骇客。(Source:美国司法部)
朱华、张士龙两位应当都在中国境内,面临美国-加总 27 年的徒刑量刑,但中美双方也并无引渡协议,导致美方起诉归起诉,并无法拿两人怎样。据美国情报界拦截的消息,两人还庆祝他们名列美方缉拿的要犯名单当中。
▲ FBI 的悬赏通报要缉拿 APT10 的两名骇客。(Source:FBI)
目前 APT10 窃取的人员名单,并没有流入暗网兜售,因此极高的可能性是国家力量在背后的骇客所为。APT10 看来会锁定基础建设业务的公司下手,想办法从得到的情报当中,在筹划进行下一步的行动。
- Ghosts in the Clouds: Inside China’s Major Corporate Hack
- Go read this ‘Cloud Hopper’ hacking investigation by the WSJ
(首图来源:pixabay)
延伸阅读:
- 中国长期入侵资讯服务商,试图取得旅游和核动力潜舰资料
- NASA 负责火星任务实验室被骇,靠小小树莓派侵入近一年
- 美司法部起诉中国骇客,控窃贸易机密
