基辅,乌克兰 - 2018/12/04:在智能手机上看到的Wipro信息技术咨询公司徽标。(摄影:Igor Golovniov / SOPA图片/ LightRocket通过Getty Images)供应链安全无疑是一个热门话题。目标违约以及最近英国航空公司的黑客攻击都是由供应链的弱点引起的。昨天,印度外包咨询巨头Wipro正在调查其内部IT系统遭到黑客攻击的报道。消息人士告诉Krebs On Security,对手正在使用Wipro的系统对该公司的“至少十几个”客户发起攻击。
之前有两位消息人士告诉克雷布斯,一位假定的国家演员已经在系统内呆了好几个月,寻找机会瞄准Wipro的客户。然后另外两个消息来源出现了。第一个熟悉Wipro客户的法医调查,告诉Krebs他们认为在查看包含客户名称的对手后端基础设施上的文件夹后,至少有11家公司遭到攻击。第二个消息来源告诉Krebs,Wipro的企业电子邮件系统已经被破坏了一段时间,该公司正在建立一个新的私人电子邮件网络。该消息人士还表示,Wipro告诉客户有关可能意味着成功入侵的策略,工具和程序(TTP)。Wipro之前受到了抨击:2017年,在该公司聘请Wipro解决投诉和网络问题后,英国的ISP TalkTalk被21名客户的数据暴露给流氓员工后被罚款。
Wipro说什么?
Wipro表示正在调查针对其员工的高级网络钓鱼活动。该公司通过电子邮件向我发送了以下声明:“由于先进的网络钓鱼活动,我们检测到我们网络上的一些员工帐户中存在潜在的异常活动。在得知此事件后,我们立即开始调查,确定受影响的用户并采取补救措施来控制和减轻任何潜在影响。
“我们正在利用业界领先的网络安全实践,并与我们的合作伙伴生态系统合作,收集和监控高级威胁情报,以增强安全状况。我们还聘请了一家备受尊敬的独立法医公司来协助我们进行调查。我们继续以更高的警觉性来监控我们的企业和基础设施。“
谁是Wipro的客户?
Wipro的许多客户都涵盖了可能成为黑客主要目标的行业 - 尤其是国家赞助的行业。它们包括石油和天然气,汽车,航空航天和国防,银行和医疗保健组织等行业。
在Wipro网站上指定的当前和以前的客户案例研究包括RHT Health Trust和LA Care Healthplan。
但是Wipro在去年遇到了一些问题。2018年9月,一名医疗保健客户,内布拉斯加州卫生和人类服务部突然命令Wipro停止升级到州医疗补助登记系统的工作。Wipro现在起诉该组织。
就在一个月前,该公司已经支付了7500万美元用于解决诉讼,因为它在美国国家电网上实施了SAP实施。
这是什么意思?
Wipro的股价今天(4月16日)下跌。
黑石咨询公司(Blackstone Consultancy)情报分析师汤姆•塔哈尼(Tom Tahany)表示,Wipro今天宣布其第四季度收益,但此事件不大可能对公司产生任何直接影响。然而,快进6或12个月 - 这可能是非常不同的。
“Wipro必须打击的可能声誉损害可能是最难以管理和克服的。现在说它们是否会成功克服这个问题还为时过早,但可以肯定的是,他们的公关机器目前正在加班加点,以便在当前股价和长期方面立即试图缓和这一打击。“
塔哈尼说,这不是第一次这种性质的攻击。他指出,今年1月,美国国家反情报和安全中心发起了一项运动,向企业发出有关外国情报机构网络攻击相关风险的警告。“他们将企业供应链确定为主要目标之一,其中参与者攻击企业供应商以获得对最终客户企业网络的访问权。似乎Wipro很可能被用作软肋以破坏第三方。“
与此同时,克雷布斯提到了2019年4月4日发生的一种“奇怪的,如果只是偶然的发展”。印度政府出售了Wipro的“敌人”股票价值约1.66亿美元。
显然所谓的敌人股票是因为它们最初是由移民到巴基斯坦或中国并且不再是印度公民的人持有的。
根据商业标准,买家是新印度保险和通用保险公司的国有人寿保险公司。
谁是肇事者?
据认为,所谓的攻击是由国家赞助的,但谁呢?AMTrust Europe的安全负责人Ian Thornton-Trump表示,这可能是APT10攻击,他说“几乎总是”以网络钓鱼开始。
当然,在这个阶段不可能坚定地归因于攻击 - 而桑顿 - 特朗普无法提供证明这一理论的任何具体证据。
我联系了中国大使馆征求意见,并会在他们回复的时候更新这个故事。
APT10 - AKARed Apollo,Stone Panda和MenuPass--是一个中国黑客组织,喜欢攻击托管服务提供商。去年,澳大利亚网络安全中心将其归咎于对至少九家全球服务提供商的攻击。
同样在12月,英国国家网络安全中心表示,它已经意识到当前可能影响英国各组织的恶意活动,可能是由APT10进行的。
据FireEye称,APT10已经瞄准或妥协了印度,日本和北欧的制造公司;南美的一家矿业公司;和全球多个IT服务提供商。
没有监督的外包:接下来该做什么
桑顿特朗普表示,这次违规行为是“没有监督可能外包IT的一个很好的例子”。
“遗憾的是,我们很长时间没有信任和验证,而且MSP总是成为APT团队的目标,希望从MSP跳到目标企业。审核供应商和服务提供商必须在购买时进行更多的尽职调查,而不是一堆问题。在订婚的整个生命周期中都需要警惕。“
到目前为止,违规的全部范围还不在公共领域,而且“只有那些将IT外包给Wipro的人才能做到这一点”,Tahany说。“Wipro没有说他们的哪些客户受到了影响,但公司试图控制和发送信息是至关重要的,希望攻击者还没有全权访问。”
但根据Tahany的说法,这种违规行为应该是对外包公司和外包IT公司的警醒。与此同时,他指出,在新任命的Wipro CISO Sridhar Govardhan表示无摩擦安全应成为所有提供商的目标,并且“安全不能成为企业优先事项的显示阻力”两个月之后,违约发生了。
无论谁对违规行为负责,第三方公司将始终成为寻找弱点的攻击者的目标。对于外包公司来说,仔细考虑自己的安全性非常重要 - 客户要谨慎对待他们信任的人。“IT外包公司应该将其系统的安全性和客户的数据视为最重要的,”Tahany说。“外包IT的公司应该了解外包带来的威胁和风险 - 并确保他们有完全独立于第三方公司的内部措施,以试图减轻这种非常真实的威胁。”