Omfattande cyberangrepp hos driftleverantörer - Vilka?

I dagarna släpptes en mängd rapporter från bland annat PWC och BAE gällande pågående angrepp mot driftleverantörer.

Angreppen har fått beteckningen Cloud Hopper

https://www.msb.se/sv/Om-MSB/Nyheter...tleverantorer/

https://www.pwc.co.uk/issues/cyber-s...ud-hopper.html

https://baesystemsai.blogspot.se/201...-hopper_3.html


Det som är intressant är att inga uppgifter finns tillgängliga om vilka internetleverantörer som är drabbade.

Ni som jobbar på olika MSP:er, har ni märkt något? Hört några rykten?

// rancor

Kanske de som använder TeamViewer...

EDIT:
https://www.cert.se/2017/04/omfattan...ftleverantorer

Skiss över angreppet: https://2.bp.blogspot.com/--sBNjr4zn...nfographic.png

Det har inget med TeamViewer att göra, och det är inte internetleverantörer utan driftleverantörer. Stora driftleverantörer.

Edit: detta är alltså inte gissningar, utan fakta, då jag själv deltog i utredningen hos ett av de drabbade företagen för lite mer än ett halvår sedan och rätt omgående hittade spåren till driftleverantören.

Vika driftleveranrörer handlar det om?

http://computersweden.idg.se/2.2683/...verige-drabbat

Jag känner bara till en med säkerhet, den min kund använde, men gissar att åtminstone top 5 i västvärlden med stor sannolikhet komprometterats. Jag kan dock inte lämna några namn. Den leverantör jag med säkerhet känner till skyddas av NDA, och dessutom skulle jag oavsett det riskera en massiv stämning om jag gick ut med namn. De leverantörer jag har starka indicier om skulle omedelbart försöka få mig till domstol för förtal om jag nämnde.

Men ja, ni känner garanterat igen namnen om ni hör dem.

Bra, då vet vi.

Alltså den typen av företag som är duktigare på att skydda sig själva än att utföra de uppdrag de tar betalt för.

Gissar att Tieto är ett av företagen?

Att MSB inte går ut med namnen är inget annat än en skandal...

Så jävla trött på mainstreamberedskapsmyndigheterna som mörkar så fort det är främmande statsmakter som angriper Sverige.

Jag kan ge mig fan på att det var en av regeringens alla raketforskare som öppnade ett infekterat Exceldokument, noll respekt för IT-säkerhet har dem där de kommer från. Om ni tror detta är vanligt förekommande bland IT-utbildade tror ni fel, det är de jävla lamers:ernas företagskultur som inte passar ihop med fackmässig sådan.

Detta är bara början, sanna mina ord.

Men nej, vi kan väl vänta oss att Löfven och co. gullar med APT10, de är trots allt offren i det här. Skadestånd står att vänta Kina för den enorma kränkning de fått utstå i samband med detta.

Fan vad trött jag blir på användare och hosting providers. Snart står väl Joakim von Braun och gråter i nättidningarna över att det är minsann inte nationstatsaktörerna som blivit mer aggressiva, vi har bara blivit bättre på att upptäcka och identifiera dem.

Det går utför för vårt kära Internet, blir fan byterädd.

Nån som har bild på APT10? Häng ut de jävla asen!!!ettettett

#Säkerhetsdemokraterna2018

- - -

Vad fan skulle MSB gå ut med drabbade företag och MSP:ers namn för?

Så att andra presumtiva kunder kan undvika att riskera sina data. Tror inte att de drabbade leverantörerna gör så mycket för att undvika att drabbas igen om de inte tvingas till det via att hängas ut på skampålen.

Ett rent Pentestprotokoll (inkluderande social enginering attack) från ett välrenommerat och oberoende företag är vad som krävs för att åter bli betrodd.

Fast nu är det ju, så vitt jag förstår, kunderna själva som orsakar intrång hos driftleverantören som i sin tur används för att komma åt kunderna (samma eller nya) med hjälp av huvudsakligen delade system och återanvända credentials.

Pentesting inklusive social engineering-attacker gör inte ett dugg mot spearphishing och 0-days.

...Sen ligger det knapperligen i företags eller lands intresse att skampåla företag som blir utsatta för angrepp i någon slags "för kundens väl"-tänk. Välkommen till kapitalismen.

Det är leverantören som drabbats av intrång, och leverantörens åtkomst till kunderna som sedan lett till intrång hos kunderna. Minst en driftleverantör blåljög om insamlade bevis och dolde tidsangivelser för olika händelser för att in i det sista försöka lägga skulden på kunden.

Att man inte går ut med namn på leverantörerna är inte konstigt, då man kontaktar kunderna individuellt.

Edit: det finns tekniska lösningar för att mitigera spearphishing och 0-days, men de är svåra och kostsamma att implementera i existerande infrastruktur. Ett fullskaligt pentest kan dock, och har i flera fall, leda till att dessa implementeras.