Det blir stadig vanligere å outsource datadrift til såkalte Managed Service Providers (MSP’er). En fersk rapport fra PwC UK og BAE Systems ser på målrettede dataangrep mot MSP’er, hvor spesielt en kinesisk hackergruppe, APT10, mistenkes å stå bak. Formålet med disse angrepene er å få tak i dataene som MSP’ene oppbevarer for kundene sine. Et vellykket angrep kan ramme tusenvis av kunder over hele verden.
Det kan være vanskelig å knytte dataangrep til en organisert gruppe i et spesielt land, men i dette tilfellet begrunnes mistanken med at hackeraktivitetene følger kinesisk arbeidsdag. Metadata, som tidspunkt for kompilering av binærfiler for malware, registreringer av domener og nettverkstrafikk, angir at aktivitetene starter typisk klokken 08:00 (UTC+8) og holder på fram til ca. klokka 17:00. Midt på dagen er det en tydelig to-timers aktivitetsdropp, som tyder på at det er lunsjpause på gang.
Dagens hackergrupper, som for eksempel APT10, framstår som veldrevne og profesjonelle organisasjoner, med faste arbeidstider, mange ansatte og ledere på toppen. Jeg blir ikke forundret om de også organiserer julebord og lønningspils for sine ansatte i ny og ne. De har visstnok økt betydelig i størrelse de siste årene, utvikler sine egne angrepsverktøy, og har en tydelig strategi med å ramme MSP’er framfor direkteangrep mot individuelle bedrifter.
Denne typen trusselaktør vil for enhver MSP være krevende å beskytte seg mot, så det er på sin plass å nok en gang understreke viktigheten med kontinuerlig risikovurdering i forbindelse med sourcing.
Kilde og anbefalt påskekrim: Operation Cloud Hopper (April, 2017)