这项研究的结果是,《华尔街日报》发现Cloud Hopper攻击比以前想象的要广泛得多。
黑客似乎无处不在。
在组织工业间谍活动的最大尝试之一中,有传言称,攻击者在过去几年中与中国情报部门合作,窃取了大量知识产权,有关访问机密信息的详细信息以及许多公司的其他记录。 他们可以访问包含力拓(Rio Tinto)探索秘密的系统,以及巨型电子和医疗保健公司飞利浦(Philips)的非公开医学研究。
他们通过云服务提供商进入系统-云正是公司为了希望其安全而存储数据的云。 渗透到此类服务后,黑客可以匿名自由地从一个客户端迁移到另一个客户端,并且多年来抵制了研究人员将其扔出客户端的尝试。
网络安全研究人员首次在2016年发现了黑客入侵的迹象,并将其命名为Cloud Hopper(云漏斗)。 去年十二月,美国检察官为此
谴责了两名中国公民。 嫌疑人尚未被拘留。
《华尔街日报》的一项研究发现,实际上这种攻击的规模比以前想象的要大得多。 它远远超出了起诉书中列出的14家未命名公司;它扩展到至少十家的几家云提供商,包括加拿大最大的提供商之一CGI Group Inc .; 芬兰主要的IT公司Tieto Oyj; 和国际商业机器公司
《华尔街日报》收集了有关安全公司和西方政府进行的黑客攻击和反击的信息,采访了十多名调查员,检查了数百页的内部文档和公司调查以及与入侵有关的技术信息。
《华尔街日报》在惠普公司发现了这一点。 一切都太糟糕了,云公司甚至没有注意到黑客重新进入了客户网络,并为所有客户开了绿灯。
在云层内部,西方官员和研究人员将其称为APT10的一群黑客获得了庞大的客户群。 《华尔街日报》的一项研究发现,数百家公司与受影响的云提供商合作,其中包括力拓,飞利浦,美国航空集团,德意志银行,安联以及葛兰素史克。
联邦调查局局长克里斯托弗·雷宣读了两名中国公民在Cloud Hopper袭击中的指控2018年12月20日直到今天,黑客是否仍留在公司网络中仍然是一个悬而未决的问题。 《华尔街日报》检查了SecurityScorecard提供的数据,发现世界各地数百个IP地址从4月到11月中旬继续将数据传输到APT10网络。
根据现任和前任官员的说法,包括美国司法部在内的美国当局担心它们是否是这些攻击的受害者,以及这些攻击是否使中国政府能够使用关键基础设施。 路透社在2019年
报道了中国网络间谍项目感兴趣的某些方面。
现在,美国政府声称APT10成功窃取了10万多名美国海军人员的详细案件。
美国海军水手手表EA-18咆哮者飞机来自政府和第三方的研究人员都声称,许多最大的云公司都试图让客户不了解其网络上正在发生的事情。 一位研究员说:“这就像试图阻止流沙一样。”
正如一些知情人士所说,美国国土安全部官员对云计算公司的抵制感到沮丧,以至于他们今天正在努力修改联邦合同,以迫使公司提交未来的看法。
美国国土安全部发言人未回答该部是否遭到黑客入侵的问题。 司法部也未回应该请求。
HPE发言人亚当·鲍尔(Adam Bauer)表示,该公司“努力解决这些入侵对我们客户的影响”,并补充说,“用户数据的安全性是我们的首要任务。”
鲍尔说:“我们完全否认来自媒体的所有指控,即HPE没有尽一切可能与政府合作。” “所有这些指控都是公然的谎言。”
IBM发言人爱德华·巴比尼(Edward Barbini)说,该公司正在与有关政府机构一起调查这起事件,并补充说:“我们没有证据表明任何敏感的公司数据都会受到损害。 我们已经与所有表示关切的客户单独合作。”
这种黑客攻击说明了存在于全球业务中心的漏洞-毕竟,世界上最大的公司存储越来越多的敏感信息,这些信息涉及长期吹嘘其安全性的云提供商。
《华尔街日报》编辑联系的许多公司拒绝透露他们是否遭到攻击。 美国航空表示,他们在2015年收到了HPE的通知,称“他们的系统参与了网络安全事件”,并且“没有发现损害系统或数据的任何证据”。
飞利浦说,该公司已经意识到可能与APT10活动有关的黑客攻击,并且“今天所有这些尝试都已得到适当抑制”。
安联公司的发言人表示,该公司“未找到证据”表明其系统中存在APT10。
葛兰素史克,德意志银行,力拓和铁拓均未发表评论。 CGI没有收到对多个请求的答复。 中国政府也没有回应这一要求。 过去,它已经拒绝了黑客指控。
鬼魂
研究人员说,Cloud Hopper已经成为APT10(高级持久威胁)的新技术,这是中国最难以捉摸的黑客组织之一。 “还记得那句老话,为什么要抢银行? 国家安全局网络安全局局长安妮·纽伯格说。 “因为那里有钱。”
与安全性相关的APT10已经被追踪了十多年,而后者已经路由了政府,工程公司,航空航天公司和电信公司。 尽管美国检察官建议至少有几名成员在中国国土安全部工作,但有关该小组的许多信息仍是秘密的。
为了侵入云服务,黑客有时会向具有高访问权限的管理员发送网络钓鱼电子邮件。 研究人员说,有时他们会通过承包商系统对他们进行黑客攻击。
根据两个熟悉此案的人的指控,力拓(Rio Tinto)是最早的目标之一,也是实验兔。 涉及铜,钻石,铝,铁矿石和铀的公司早在2013年就通过云提供商CGI被黑客入侵。
力拓矿在加利福尼亚州哈罗。黑客能够获得什么还不得而知,但是一位熟悉此案的研究人员说,这些信息可用于在矿业公司计划开始开发的那些地方购买房地产。
联邦调查局调查Cloud Hopper的特工Orin Palivoda在纽约举行的最近一次安全会议上说,APT10团队的工作就像云中的鬼魂。 他说,它们“基本上看起来像所有其他流量一样”。 “这是一个很大的大问题。”
普华永道伦敦分公司的高级网络安全研究员Chris McConkie是最早发现APT10业务范围的人之一。 在2016年初对一家国际咨询公司进行例行安全审核期间,其显示屏上突然出现红点,表明发生了大规模袭击。
最初,他的团队认为这次攻击只是一个不寻常的孤立案例,因为黑客是通过云而不是公司本身进行渗透的。 但是,随后他们开始与其他客户遇到类似的情况。
麦康基说:“当您意识到有很多此类案件时,并且攻击者确实了解他们可以使用的内容以及如何滥用它,您就会了解可能造成的后果的严重性。” 他没有提到具体的公司或提供者。
麦康基的小组(一个小组关闭了对坏人的访问权,另一个小组收集了有关渗透的信息并评估了黑客仍然可以去的地方)在安全的地板上工作,该地板只能在单独的电梯上访问。
克里斯·麦康基他们了解到黑客是在团队中工作的。 正如McConkie所说,星期二小组访问了服务中心,以确保所有被盗的用户名及其密码仍然有效。 几天后另一个小组经常出现,并偷走了目标数据。
有时,黑客将受害者的网络用作存储被盗数据的站点。 随后,一家公司发现它存储了至少五家不同公司的信息。
在工作的前几个月,麦康基集团开始与其他安全公司共享信息,这些公司也开始陷入困境。 攻击者有时会通过为其活动注册域名(例如gostudyantivirus.com和originalspies.com)来取笑猎人。
Secureworks公司安全研究主管迈克·麦克莱伦(Mike Maclellan)说:“我不仅看到中国的APT组织如此积极地嘲笑研究人员。” 他补充说,有时APT10经常在其恶意软件中包含令人反感的短语。
HPE是黑客最严重的受害者之一,其业务服务的云服务为来自数十个国家的数千家公司的数据提供服务。 飞利浦的客户之一,管理着20,000 TB的数据,其中包括与临床研究人员有关的大量信息以及糖尿病患者的应用数据,如2016年在HPE Twitter上发布的广告视频所示。
至少自2014年以来,APT10就一直是HPE的一个严重问题-知情人士说,APT10并不总是向客户告知其云问题的严重性。
德国Boeblingen的HP Enterprise的服务器机柜。正如一些知情人士所言,使情况复杂化的是,黑客获得了该公司负责报告网络事件的团队的访问权。 正如其中一位知情人士所述,在HPE努力清理感染的过程中,黑客监视了公司并进入清理过的系统,开始了一个新的周期。
HPE发言人鲍尔(Bauer)表示:“我们一直在努力消除入侵的后果,直到我们确信我们完全消除了系统中的饼干痕迹。”
在此过程中,HPE带领云部门成立了独立的公司DXC Technology。 HPE在当时的公开记录中报告说,它没有任何安全漏洞,不会造成材料成本。
DXC发言人Richard Adamonis说:“没有网络安全事件会对DXC或其客户的有形资产产生不利影响。”
飞利浦发言人表示,HPE提供的服务“与患者数据的存储,管理或传输无关”。
拒绝
第一个真正严肃的回应始于2017年。 不断壮大的战斗机团队加入了多家安全公司,受攻击影响的云提供商以及数十名受害者。
几位知情人士说,起初拒绝共享信息的云公司在西方政府的压力下改变了主意并开始合作。
首先,研究人员在受害者系统的公司高管日历中添加了虚假条目,以使黑客产生错误印象,即高管将在周末离开。 这样做是为了使黑客相信该公司没有任何怀疑。 然后,研究人员突然在黑客通常的工作时间之外连接到系统,并通过关闭受感染的帐户并隔离受感染的服务器来急剧切断对他们的访问。
APT10很快返回,袭击了包括几家金融公司在内的新受害者。
IBM的新目标之一就是为众多《财富》 500强公司以及美国政府机构(如总务室,内政部和陆军)提供云服务。
IBM在2018年德国汉诺威CeBIT博览会上的展位。通用服务管理发言人表示,该机构与多家云公司合作,了解Cloud Hopper,并且正在“积极处理安全威胁”。 美国内政部和美国陆军没有对此事发表评论。
对于IBM发生的事情知之甚少。 黑客学会了更好地隐藏,并通过几台服务器的链来重定向攻击。 当美国官员了解到APT10进行的新黑客攻击时,他们在2017年和2018年抓住了他们的恐慌感。 这种情况变得如此严重,以至于他们不得不发出公开警告,称黑客已经渗透到该国最重要的基础设施,包括IT,能源,医疗保健和制造业。
特朗普政府一直在思考几个月来,针对黑客的案件将是什么样,可以向公众告知什么,以及这将如何影响交流。 熟悉这项研究的美国前官员说,他们最初希望对与袭击有关的中国人实施制裁,并任命了六名中国公民,其中包括一些与该国情报部门有直接联系的中国人。
结果,只有两个人被命名。 知情人士说,像Cloud Hopper这样的行动需要尽可能多的人,包括开发人员,渗透运营商和语言学家来处理被盗的资料。
在这两个文件中,关于朱华的信息很少,这在网上被称为Godkiller。 研究人员将另一个人,称为“达令龙”的张世龙与一个社交媒体帐户相关联,该帐户发布了有关如何学习黑客的说明。
他们俩很可能仍在中国,并可能因密谋,欺诈和身份盗窃而在美国监狱服刑长达27年。 但是美国与中国没有引渡条约,《华尔街日报》的编辑无法与他们联系以接收评论。
一名前美国情报官员说,根据他们当时收集的数据,中国操作人员正在庆祝自己的声名and起。
如今,对于使用被盗数据的计划知之甚少。 与其他攻击不同,用于出售这些宝贵的商业数据的广告不会出现在影子互联网上。
Cloud Hopper攻击对联邦研究人员仍然非常感兴趣,他们致力于该活动是否与其他渗透到公司基础设施中的其他案例有关,在这些案例中,中国人也被怀疑。
研究人员或西方当局仍不知道该运动的最终数字-访问网络的数量和被盗数据的确切数量。
尽管美国官员和安全公司表示,APT10活动在去年有所下降,但对云提供商的威胁仍然相同。 谷歌研究人员最近报道说,据称由俄罗斯政府资助的黑客试图入侵远程控制服务提供商,而攻击者也选择将其作为攻击目标。
“我很震惊地发现,今天您找不到数十家不怀疑APT10侵入其网络或仍然可以访问其网络的公司,”前负责国家安全的副检察长Luc Demboski说,现在与受各种组织(包括APT10)攻击的公司合作。
“唯一的问题是他们在那里做什么? 麦康基说。 “他们什么都没去。” 他们目前正在做什么,我们看不到。”