Under första veckan av april har vi i media uppmärksammats på ett organiserat angrepp av cyberspionnage som under flera års tid pågått i Sverige och ett flertal andra länder. Angreppet har troligtvis utförts av en utländsk statsstödd hackergrupp som kallar sig för APT10, och angreppet har fått beteckningen ”Operation Cloud Hopper”. Attacken har avslöjats av PwC och BAE, tillsammans med The National Cyber Security Centre i Storbritannien. Rapporten finns att läsa i sin helhet här.

I Operation Cloud Hopper har hackarna varit mycket metodiska och målmedvetna i sitt arbete, och allt tyder på att de har kartlagt verksamheter, organisationer och individer noggrant för att hitta svaga punkter att ta sig igenom. De slutgiltiga målen för spionaget skall enligt rapporten ha varit stora företag och myndigheter, men för att ta sig dit har hackarna utnyttjat svagheter hos underleverantörer. Man har sedan använt dessa som en språngbräda för att komma åt de företag och organisationer som man egentligen är intresserad av.

Operation Cloud Hopper har bestått av en stor mängd manuellt arbete där man noggrant har kartlagt sina mål, manipulerat användare i både målorganisationerna och deras underleverantörer, för att på så sätt komma in med skadlig kod i strategisk infrastruktur. Den skadliga koden har bland annat sedan använts för att komma över administrativa konton hos underleverantörerna, som sedan kunnat användas för att, genom t.ex. traversering, komma åt måltavlans infrastruktur.

Jonas Lejon på Triop har gjort en vidare analys av de IoC:er (Indicators of Compromise) som PwC presenterar i sin rapport kring Operation Cloud Hopper. Hans analys kan ni läsa här.

Om ni har några frågor kring Operation Cloud Hopper eller APT10, eller om ni behöver hjälp med att utreda om ni är en av de drabbade, så är ni välkomna att kontakta mig eller någon annan av oss på NSEC.

Med vänlig hälsning

Oskar Ehrnström, Försäljningschef