Omfattande cyberangrepp hos driftleverantörer

Ett omfattande internationellt cyberangrepp har avslöjats. Cyberangreppet har fått beteckningen ”Cloud Hopper” och aktörens beteckning är ”APT10”.

Angreppen har bland annat skett genom intrång hos olika driftleverantörer som sedan nått vidare till deras kunder. Därför kan en lång rad organisationer vara drabbade. Sverige är ett av flera länder som drabbats.
Cyberangreppen har i ett första steg riktats mot företag som sköter it-tjänster åt andra, och därefter vidare mot deras kunder. Cyberangreppet har pågått sedan åtminstone 2016, men påbörjades troligen redan under 2014.

En driftleverantör av det slag som angripits (managed service provider) sköter olika tjänster åt kunder och är kopplade till sina kunders it-infrastruktur. APT10 har tagit sig in i system tillhörande flera sådana driftleverantörer och från deras nätverk sedan fått åtkomst till andra organisationers interna nätverk.

Flera länder har drabbats

Omfattningen av den information som APT10 samlat in är i nuläget okänd, men det rör sig troligen om stora mängder data. APT10 tycks framför allt angripa mål i USA, Taiwan och Japan, men även andra länder berörs. I Europa pekas Sverige, Norge och Finland ut, tillsammans med Storbritannien, Frankrike och Schweiz.

Hur många svenska myndigheter och organisationer som varit utsatta är inte känt, inte heller eller i vilken omfattning de drabbats. Men det är känt att svenska ip-adresser har använts för att koordinera intrången samt hämta hem stulna data.

Den höga nivå av digitalisering som kännetecknar Sverige, tillsammans med mängden tjänster som outsourcats till olika driftorganisationer, innebär att risken är stor att åtskilliga svenska organisationer berörts av angreppen.

Några av de samhällssektorer som särskilt pekas ut som målobjekt för APT10 är offentlig verksamhet, IT, kommunikation, sjukvård, energi och forskning.

Så gick angreppen till

APT10 har inriktat sig på att infektera system genom att lura människor. De som ligger bakom angreppen har lagt stora resurser på att kartlägga sina mål, organisationer och deras anställda, för att kunna skicka riktade e-postmeddelanden med trovärdiga dokument (så kallat riktat nätfiske, spearphishing). Metoden går ut på att förmå mottagaren att öppna dokument och därmed omedvetet starta skadlig programkod som ligger dold.

MSB:s bedömning

Enligt MSB:s bedömning kan det avslöjade angreppet utgöra en betydande risk för en bred krets av svenska organisationer. Organisationer som har verksamhet inom områden som är drabbade kan eventuellt få räkna med att det kan komma att krävas relativt omfattande resurser för att identifiera och hantera eventuella intrång.

Om MSB:s uppdrag

Hos MSB bedrivs en verksamhet som kallas CERT-SE, och är Sveriges nationella Computer Security Incident Response Team (CSIRT). Verksamhetens uppgift är att stödja samhället i arbetet med att hantera och förebygga it-incidenter. MSB strävar efter att öka it-säkerhetsmedvetandet i Sverige genom att förmedla kunskap och fakta. CERT-SE vid MSB utfärdar kontinuerligt varningar och råd om sårbarheter i våra it-system. För detta bedrivs omvärldsbevakning av hot och säkerhetsproblem på it-området i ett nära samarbete med liknande nationella och internationella organisationer.

Detaljerad information om angreppet

BAE Systems:
APT10 - Operation Cloud Hopper (3 april)
https://baesystemsai.blogspot.se/2017/04/apt10-operation-cloud-hopper_3.html

PWC:
Uncovering a new sustained global cyber espionage campaign (3 april)
https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html

UK National Cyber Security Centre:
Global targeting of enterprises via managed service providers (3 april)
https://www.ncsc.gov.uk/information/global-targeting-enterprises-managed-service-providers

För mer information
MSB:s presstjänst, 070-321 88 74, kommunikation@msb.se

Teknisk information
Vakthavade CERT-SE, 010-240 40 40, cert@cert.se