Cloud Hopper är tillbaka – Så kunde Kina hacka Visma

2019-02-08 06:00  
Vismas kontor i Operakvarteren i Oslo. Foto: Håkon Mosvold Larsen/TT

Bokföringsjätten Visma är den senaste måltavlan för ett omfattande kinesiskt industrispionage. Samma hackergrupp ska ha gjort intrång hos flera svenska företag som en del av den så kallade Cloud Hopper-kampanjen.

Dataintrånget började sent på kvällen den 17 augusti förra året. Det var långt efter ordinarie arbetstid och i loggarna ser det ut som att en anställd kvinna på den norska bokföringsjätten Visma loggade in på jobbnätverket via Citrix, ett program för att komma åt sin jobbdator på distans.

Exakt hur hackarna har kommit över inloggningsuppgifterna vet vi inte. Kanske hade de via en phisingattack lyckats lura till sig det från den anställda. Kanske hade hon använt samma lösenord privat och på jobbet, och så hade de hittat ut på nätet i någon större dataläcka.

Oavsett hur så hade de fått in en fot hos tillverkaren av ett av Europas vanligaste bokföringsprogram. Visma har uppemot 900 000 företag på kundlistan, många av dem i Sverige. Det var av allt att döma de här företagen som var hackarnas slutgiltiga mål.

Läs mer: Mustchefen varnar för attacker mot svenska elnätet

Väl inne på Vismas nätverk började de med att observera it-miljön. Det tog nästan två veckor, men den 30 augusti började hackarna att röra på sig. De använde kvinnans inloggningsuppgifter för att infektera datorer i Vismas nätverk med en trojan som heter Trochilus och kan fjärrstyra datorer eller övervaka nätverkstrafik.

Det är väldigt svårt att upptäcka. Inga filer lagras på hårddisken så traditionella antivirus hjälper inte, hela programmet körs i datorns arbetsminne.

Stjäl inloggningsuppgifter med Mimikatz

På vissa datorer installerade hackarna också ett ökänt verktyg som kallas Mimikatz. Det kan användas för att stjäla användarnas inloggningsuppgifter, och på det viset fick hackarna tillgång till fler och fler datorer.

Läs mer: Skandalerna som skakar Huawei

Den här gången kom de inte längre än så. I början av september fick Visma larm från it-säkerhetsföretaget Rapid7 om att något skumt hände innanför nätverkets väggar. Kort därefter kunde de avslöja och kasta ut hackarna innan känsliga data hann lämna företaget.

– Men om jag tar på mig min paranoida hatt, så skulle det här ha kunnat bli katastrofalt. Är du en stor underrättelseorganisation någonstans i världen och vill samla så mycket information som möjligt, går du självklart till det ställe där allt finns samlat. Det säger sig självt, säger Vismas säkerhetschef Espen Johansen om attacken.

Den senaste i en lång rad kinesiska attacker

Visma-attacken är den senaste i en lång rad av statligt finansierade cyberangrepp som kommit att kallas för Cloud Hopper. Den avslöjades våren 2017 och totalt ska ett 40-tal företag och organisationer i västvärlden har attackerats under flera års tid, varav några av dem finns i Sverige.

Hackergruppen bakom attackerna kallas för APT10, och har flera gånger pekats ut som en gren av den kinesiska underrättelsetjänsten. Senast i december när det amerikanska justitiedepartementet väckte åtal mot två kinesiska medborgare som sägs ha deltagit i Cloud Hopper-angreppen.

Hackarna började dataintrången hos stora leverantörer av it-tjänster. Visma är det första som erkänner att företaget har drabbats, men enligt uppgifter är de amerikanska jättarna IBM och HP Enterprise två av dem som tidigare har råkat ut dataintrång från APT10.

Läs mer: Så går det till att hacka en röstningsmaskin på två minuter

Via it-leverantörernas system försökte hackarna sedan ta sig vidare till deras kunder. Det är här namnet Cloud Hopper kommer ifrån. Spionerna tar sig in i molnjättarnas system och ”hoppar” sedan därifrån till företagens kunder.

Väl där kan de börja leta efter sina verkliga mål: företagshemligheter och immateriella tillgångar. Allt som kan användas för att ge kinesiska företag ett försprång.

Enligt en rapport från analysfirman PWC ska APT10 i stor utsträckning ha riktat in sig på ingenjörstunga teknikföretag inom bland annat telekombranschen, flygindustrin, robotik och medtech. De uppges också ha spionerat på myndigheter i flera länder.

Tre nya måltavlor för hackarna

Det svenska it-säkerhetsföretaget Recorded Future har varit med och undersökt angreppet mot Visma. De är övertygade om att det åter igen är APT10 som ligger bakom.

– Vi är så säkra man kan bli. I det här fallet är det många olika faktorer som talar för det. Från väldigt specifika tekniska indikationer till hur de gått tillväga, säger företagets teknikchef Staffan Truvé till Ny Teknik.

I sin rapport nämner Recorded Future två andra dataintrång som har skett under 2018 och verkar vara signerade APT10. Det ena ska ha riktat sig mot ett internationellt modeföretag, det andra mot en amerikansk juristbyrå som specialiserat sig i immaterialrätt och har tunga klienter inom bland annat fordonsindustrin, tekniksektorn och biomedicin.

Läs mer: Wannacry-viruset tillbaka – slog till mot Boeings flygplansfabrik

I båda fallen har hackarna använt liknande tillvägagångssätt som i attacken mot Visma.

– Jag tror personligen att alla länder spionerar på varandra, men i det här fallet verkar det vara en stat som gör det i syfte att skaffa sig information som är av industriellt intresse. De försöker stjäla uppgifter som immateriella tillgångar, formler, ritningar och sådant. För ett företag som Visma finns det säkert också reserapporter att ta del av så att man kan kartlägga vem som jobbat var och träffat vilka företag, säger Staffan Truvé.

Simon Campanello

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Aktuellt inom

Prevas

Debatt