普華永道與BAE Systems（BAE系統公司，世界第三大軍工企業）聯合發布了一份名為《以云為跳板——新一輪持續性全球網絡間諜活動》的報告，懷疑某個來自中國的黑客組織可能正是一系列針對托管服務供應商之攻擊活動的幕后黑手，而其計劃利用此類方式從托管服務商之客戶手中竊取知識產權。

這一被稱為APT10（也被稱為石熊貓）的黑客組織利用自定義惡意軟件與魚叉式網絡釣魚攻擊獲取受害者系統的訪問權。

一旦APT10滲透進網絡，就會進行偵查確保在部署mimikatz（抓取Windows密碼的工具）或PwDump（Windows密碼破解和恢復工具）之前獲取合法憑證，以從被感染的MSP中竊取額外的憑證、管理員憑證和數據。

MSP基礎設施的共享特性成就了APT10的成功，允許黑客在MSP和客戶端之間秘密活動——因而得名Cloud Hopper。

在順利入侵之后，他們隨即利用目標公司所掌握的憑證對其企業客戶發動進一步攻擊。

目前APT10利用這種攻擊手段對美國、加拿大、英國、法國、瑞士、南非、斯堪的納維亞、泰國、韓國、印度和日本等國家發動過網絡攻勢。

APT10的攻擊步驟手法

供應鏈的安全性一直被公認為安全體系中的最大弱點，特別是在2013年，攻擊者曾經利用HVAC服務供應商作為跳板成功入侵了美國Target零售網絡。就目前來看，APT10正在以更大的規模使用這種攻擊方式。

普華永道的網絡安全實踐部門與BAE Systems配合英國國家網絡安全中心（簡稱NCSC）共同發現了該黑客組織的行跡。

這一間諜活動的規模只在2016年年末才有所體現，不過該間諜活動被認為是迄今為止全球范圍內規模最大的持續性網絡間諜行為之一。

普華永道與BAE Systems方面表示，APT10通過攻擊外包IT托管服務供應商的方式，向其全球各客戶發動間諜活動，并借此獲得了前所未有的大規模知識產權與敏感數據。

據稱，該黑客組織曾于2014年進行過此類活動，并在2016年年初大幅提高活動規模，包括增加新的開發者與入侵操作人員以不斷提升攻擊能力。

普華永道與BAE Systems方面表示，APT10已經從多家受害者企業中提取到大量數據，同時利用其它受到入侵的網絡將這些數據隱藏在世界各地。

一系列日本組織機構亦被分別作為針對性打擊對象，作為嫌疑最大的攻擊方，APT10很可能將自身偽裝成為日本政府方面的合法職能實體。

根據面向攻擊時間以及所使用之工具與技術進行的取證分析，調查人員得出結論稱，APT10可能設立于中國，但除此之外尚不清楚APT10背后的實際人員組成以及為何將矛頭指向這些受害組織。

普華永道公司網絡威脅檢測與響應事務合伙人克里斯·麥康凱表示，這一間接性攻擊方法的出現表明，各類組織機構有必要全面了解其可能面臨的威脅，特別是來自供應鏈的威脅因素。

他解釋稱，這一存在巨大潛在影響結果的全球性黑客活動需要得到高度重視，這意味著世界各地的組織機構應該與其安全小組及供應商保持密切合作，共同檢測網絡中出現的關鍵性警告標志并確保具備合理的應對與自我保護能力。

普華永道公司網絡安全合伙人理查德·崔恩則補充表示，通過多方共同努力，他們得以向全球各安全機構、托管服務供應商以及已知最終受害者發布了相關發現，以幫助其預防、偵測并應對此類攻擊活動。如果單純憑借其中一方，則他們根本無法發現這一新型間接性攻擊活動。

目前英國國家網絡安全中心（NCSC）和澳大利亞國家網絡安全中心（ACSC）已經對所在國的企業發布相關安全告警。

下載《以云為跳板——新一輪持續性全球網絡間諜活動》原文報告，解壓密碼為E安全網址。