Norska Visma hackades nyligen av hackare som kan kopplas till den kinesiska statsapparaten. Ett intrång som startade med att två Citrix-konton togs över.

Attacken och intrånget har analyserats av Recorded Future och deras rapport finns nu att läsa på nätet. Attacken startade den 17 augusti 2018 då obehöriga tog in i Vismas system via två stulna Citrix-konton. Några veckor senare så återkom hackarna och såg till att skaffa sig konton högre upp i access-kedjan, injicera kod och spåren pekar tillbaka till den kinesiska hackargruppen APT10.

In all three incidents, the attackers gained access to networks through deployments of Citrix and LogMeIn remote-access software using stolen valid user credentials. The attackers then enumerated access and conducted privilege escalation on the victim networks, utilizing DLL sideloading techniques documented in a US-CERT alert on APT10 to deliver malware. During the Visma intrusion, APT10 deployed their Trochilus malware with command and control (C2) communications encrypted using both RC4 and Salsa20 streaming ciphers rather than the typically observed RC4 variant. On the two other victim networks, the attackers deployed a unique version of the UPPERCUT (ANEL) backdoor, known to have only been used by APT10.

Recorded Future

Visma

Industrispionage

APT10 är kända sedan flera år tillbaka och de anses ingå i det statsstödda kinesiska industrispionaget som riktar sig mot väst.

We believe APT10 is the most significant Chinese state-sponsored cyber threat to global corporations known to date. On top of the breadth, volume, and targets of attacks that APT10 has conducted since at least 2016, we now know that these operations are being run by the Chinese intelligence agency, the Ministry of State Security (MSS).

APT10 tros ha legat bakom en mängd attacker bland annat en stor samlad attack mot flera IT-leverantörer 2017 där bland andra flera svenska företag fanns med och attackerades.

SVT.se

 

Mackens Fråga: Vad har du för hörlurar?
Share This