Hoppa över navigering, hoppa direkt till textinnehållet Hoppa till navigeringen Om webbplatsen, tillgänglighetsinformation Startsida Nyheter Webbkarta Sökfunktion Vanliga frågor och svar Hjälp Kontakt

Välkommen till MSB! Vi använder kakor (cookies) för att webbplatsen ska fungera på bästa sätt samt för statistik. Om du fortsätter, utan att ändra dina inställningar, så godkänner du att cookies från msb.se används.
Läs mer om kakor och hur vi använder dem samt hur du kan ändra dina inställningar

Omfattande cyberangrepp hos driftleverantörer

Tipsa om artikeln
Publicerad: 2017-04-05 kl. 13:16 | Uppdaterad:2017-04-05 kl. 13:17
Omfattande internationella cyberangrepp har avslöjats. Cyberangreppen har fått beteckningen ”Cloud Hopper” och bedöms vara kopplade till aktören ”APT10” (även kallad Red Apollo, CVNX, Stone Panda, menuPass). Angreppen har bland annat skett genom intrång hos olika driftleverantörer som sedan nått vidare till deras kunder. Därför kan en lång rad organisationer vara drabbade. Sverige är ett av flera länder som pekats ut som drabbat.

Cyberangreppen har i ett första steg riktats mot företag som sköter it-tjänster åt andra, och därefter vidare mot deras kunder. Cyberangreppet har pågått sedan åtminstone 2016, men påbörjades troligen redan under 2014.

En driftleverantör av det slag som angripits (Managed Service Provider, MSP) sköter olika tjänster åt kunder och är kopplade till sina kunders it-infrastruktur. APT10 har tagit sig in i system tillhörande flera sådana driftleverantörer och från deras nätverk sedan fått åtkomst till andra organisationers interna nätverk.

Flera länder har drabbats

Omfattningen av den information som APT10 samlat in är i nuläget okänd, men det rör sig troligen om stora mängder data. APT10 tycks framför allt angripa mål i USA, Taiwan och Japan, men även andra länder berörs. I Europa pekas Sverige, Norge och Finland ut, tillsammans med Storbritannien, Frankrike och Schweiz.

Hur många svenska myndigheter och organisationer som varit utsatta är inte känt, inte heller eller i vilken omfattning de drabbats. Men det är känt att svenska ip-adresser har använts för att koordinera intrången samt hämta hem stulna data.

Den höga nivå av digitalisering som kännetecknar Sverige, tillsammans med mängden tjänster som outsourcats till olika driftorganisationer, innebär att risken är stor att åtskilliga svenska organisationer berörts av angreppen.

Några av de samhällssektorer som särskilt pekas ut som målobjekt för APT10 är offentlig verksamhet, IT, kommunikation, sjukvård, energi och forskning.

Så gick angreppen till

APT10 har inriktat sig på att infektera system genom att lura människor. De som ligger bakom angreppen har lagt stora resurser på att kartlägga sina mål, organisationer och deras anställda, för att kunna skicka riktade e-postmeddelanden med trovärdiga dokument (så kallat riktat nätfiske, spearphishing). Metoden går ut på att förmå mottagaren att öppna dokument och därmed omedvetet starta skadlig programkod som ligger dold.

MSB:s bedömning

Enligt MSB:s bedömning kan de avslöjade angreppen utgöra en betydande risk för en bred krets av svenska organisationer. Organisationer som har verksamhet inom områden som är drabbade kan eventuellt få räkna med att det kan komma att krävas relativt omfattande resurser för att identifiera och hantera eventuella intrång.

Om MSB:s uppdrag

Hos MSB bedrivs en verksamhet som kallas CERT-SE, och är Sveriges nationella Computer Security Incident Response Team (CSIRT). Verksamhetens uppgift är att stödja samhället i arbetet med att hantera och förebygga it-incidenter. MSB strävar efter att öka it-säkerhetsmedvetandet i Sverige genom att förmedla kunskap och fakta. CERT-SE vid MSB utfärdar kontinuerligt varningar och råd om sårbarheter i våra it-system. För detta bedrivs omvärldsbevakning av hot och säkerhetsproblem på it-området i ett nära samarbete med liknande nationella och internationella organisationer.

Detaljerad information om angreppet

BAE Systems  :
APT10 - Operation Cloud Hopper (3 april)  
https://baesystemsai.blogspot.se/2017/04/apt10-operation-cloud-hopper_3.html

PWC  :
Uncovering a new sustained global cyber espionage campaign (3 april)
https://www.pwc.co.uk/issues/cyber-security-data-privacy/insights/operation-cloud-hopper.html

UK National Cyber Security Centre  :
Global targeting of enterprises via managed service providers (3 april)
https://www.ncsc.gov.uk/information/global-targeting-enterprises-managed-service-providers

Mer information om MSB:s uppdrag och arbete

MSB:s arbete med cybersäkerhet och skydd av samhällsviktig verksamhet

IT-incidenter (CERT-SE)

Frågor och svar om Cloud Hopper

Fakta om Cloud Hopper

För mer information

MSB:s presstjänst, 070-321 88 74, kommunikation@msb.se
Kontakt: MSB:s presstjänst kommunikation@msb.se