PwC och BAE tillsammans med Storbritanniens National CyberSecurity Centre (NCSC) har avslöjat kinabaserad aktivitet i operation Cloud Hoper. I angreppet har man gått mot IT service providers (MSPs) för att få tillgång till immateriella tillgångar från flera länder. Angreppet tros vara baserad på APT10.
Atörer har på senare tid börjat angripa och ta sig in i tjänsteleverantörers IT-miljöer. Detta för
att aktören i nästa steg ska kunna använda tjänsteleverantörernas nätverk som ett insteg till deras
kunder. Angreppsmetodiken har i praktiken inte med molntjänster i sig att göra, utan bygger på
att angriparen utnyttjar tjänsteleverantörers anslutningar till deras kunder för att på så vis få
tillgång till deras IT-miljöer. FRA har bekräftat att bakom angreppet var en statlig aktör och att det pågått under en längre tid.
Rekommendationer från FRA gällande
Övervakning av fjärradmninstartion och autentisering
- För hoppservrar ska strikt nätverksfiltrering och loggning för både tillåtna och icke tillåtna nätverksflöden tillämpas.
- Inga former av trafikflöden får tillåtas passera en hoppserver utan mellanliggande terminering.
- En central logghantering bör finnas
- Centraliserad logganalys och detektion ska i grunden vara automatiserad med möjlighet till manuell analys vid behov.
- Insamlade loggar bör sparas även på längre sikt för att kunna ge stöd vid incidenthantering
- Lösningar för inspelning av nätverkstrafik relaterad till systemadministration bör övervägas.
- inför loggning av hur mycket trafik som passerar genom hoppservern.
Förstärka autentiseringsmetoder
- Kräv att tjänsteleverantörer anskaffar kundspecifik utrustning och lösningar för administration som alltid håller den egna interna infrastrukturen frånkopplad från tjänsteleverantörens.
- Hoppservrar bör använda starka autentiseringsmetoder som är oberoende gentemot såväl den interna miljön som tjänsteleverantörens infrastrukturer.
- Byt lösenord på alla konton som har administrativa rättigheter och säkerställ att de byts med jämna mellanrum.
- Automatisk och regelbunden inventering av konton som inte loggat in på länge, för att avgöra om dessa går att avaktivera.
- Systemadministration ska endast kunna ske med flerfaktorsautentisering
PDF-rapporter om Cloud Hopper
PwC
Ladda ner rapporten från PwC
FRA
Denna rapport syftar till att belysa ett antal olika åtgärder som organisationer kan vidta
för att upptäcka och försvåra angrepp via dessa kanaler.
Ladda ner rapport från FRA om åtgärdsförslag mot angrepp via tjänsteleverantör.