Hackere som jobber for kinesisk etterretningstjeneste skal ha brutt seg inn på nettverket til det norske programvareselskapet Visma for å stjele forretningshemmeligheter fra Vismas kunder. Det melder Reuters og viser til en rapport fra sikkerhetsselskapet Recorded Future.
Angrepet bekreftes av Visma selv i en pressemelding.
Ifølge rapporten kunne angrepet fått potensielt katastrofale følger. Angrepet skal ifølge Reuters være en del av en stor hacking-kampanje fra kinesiske myndigheter for å stjele forretningshemmeligheter fra selskaper verden over. Hackingkampanjen går under navnet Cloudhopper, og retter seg mot teknologiselskaper og programvareleverandører. Målet er å nå kundene til disse selskapene.
I desember i fjor rapporterte Reuters også om at Hewlett Packard Enterprise og IBM skal ha vært mål for Cloudhopper.
– Ingen kunder skal ha blitt berørt
I meldingen fra Visma skriver sikkerhetssjef Espen Johansen at ingen av selskapets kundesystemer skal ha blitt berørt.
– Vi har flere team med sikkerhetseksperter i Visma som bruker effektive systemer og metoder for å beskytte våre systemer. Gjennom eksisterende sikkerhetsprogrammer, koordinert respons fra våre sikkerhetsteam, og gode råd fra våre partnere, var vi i stand til å forhindre at klientdata ble kompromittert, skriver Johansen.
Rapporten fra Recorded Future er en oppsummering av en etterforskning av en kinesisk statsfinansiert trusselaktør, APT10, som skal ha utført målrettede angrep mot minst tre selskaper i Europa og USA i perioden mellom november 2017 og september 2018. Visma ble identifisert som ett av målene for angrepene, og ble ifølge dem selv først klar over dette gjennom sine egne varslingssystemer.
APT10 omtales av Recorded Future som den alvorligste cybertrusselen som er sponset av kinesiske myndigheter, mot globale selskaper.
Visma har kontaktet Recorded Future for å finne ut enda mer om angrepet, og mulige tiltak. De har også jobbet tett med blant andre NSM NorCERT og politiet.
Nasjonal sikkerhetsmyndighet (NSM) sier til NTB at de kjenner godt til angrepet mot Visma, og at de har bistått dem.
– Vi har bistått i håndteringen. Vi vil berømme selskapet for å ha håndtert hendelsen godt teknisk og for å ha vist åpenhet, sier kommunikasjonsdirektør Mona Strøm Arnøy i NSM til NTB.
Tilgang via Citrix og LogMeIn
Ifølge Recorded Future skal APT10-gruppen i forbindelse med Cloud Hopper-kampanjen ha fått tilgang til selskapenes interne nettverk ved hjelp av fjerntilgang via Citrix og LogMeIn, og bruk av stjålne – og gyldige – brukernavn og passord.
Deretter skal angriperne ha brukt flere ulike teknikker, som eskalering av privilegier og såkalt DLL-sideloading for å levere skadevare. Det siste betyr at man bytter ut en legitim DLL-fil med en modifisert fil med skadevare, slik at denne lastes i stedet for originalen. US-CERT har detaljert informasjon om hvordan dette har foregått.
I forbindelse med Visma-angrepet brukte APT10 den såkalte Trochilus-skadevaren som gir angriperne mulighet til fjernstyring (C2 – command and control).
Kinas utenriksdepartement har ikke svart på Reuters henvendelser, og har tidligere avvist at de står bak denne typen dataangrep.
Hele den detaljerte rapporten fra Recorded Future ligger her.
