Visma getroffen door cyberinbraak door Chinese staatshackers

De Noorse softwareontwikkelaar Visma is getroffen door een cyberinbraak. De aanvallers zouden op zoek zijn geweest naar gevoelige bedrijfsinformatie van klanten van het bedrijf. De aanval is vermoedelijk het werk van Chinese staatshackers.

Dit blijkt uit onderzoek van de beveiligingsbedrijven Recorded Future en Rapid7. De aanval zou zijn uitgevoerd door hackers die werken in opdracht van een Chinese geheime dienst. De aanval maakt volgens de onderzoekers onderdeel uit van een bredere aanvalscampagne genaamd 'Cloudhopper'. Deze aanvalscampagne is volgens de onderzoekers tussen 7 november en september 2018 actief geweest.

Ook andere partijen getroffen

Naast Visma zijn ook andere bedrijven getroffen door Cloudhopper, al worden deze partijen niet bij naam genoemd. Het gaat om een internationaal opererend kledingfabrikant en een Amerikaans advocatenkantoor dat werkt met intellectueel eigendom van klanten in onder meer de farmaceutische industrie, techsector, electronicaindustrie, biomedische sector en automotive industrie.

In alle gevallen hebben de aanvallers via gestolen inloggevens toegang weten te verkrijgen tot software voor toegang op afstand van Citrix en logMeIn. De rechten van deze gebruikers zijn vervolgens via kwetsbaarheden opgehoogd, waardoor zij toegang wisten te krijgen tot data van het bedrijf. De data werd vervolgens via een Dropbox-account weggesluisd.

APT10

De aanval wordt gekoppeld aan APT10, een hackersgroep die al langer in verband wordt gebracht met de Chinese overheid. Zo zouden de aanvallers een unieke versie van de UPPERCUT backdoor hebben ingezet die voor zover bekend alleen door APT10 wordt gebruikt. Recorded Future en Rapid7 noemen APT10 de 'meest significante door de Chinese staat gesponsorde cyberdreiging voor wereldwijde bedrijven van dit moment'.

Een uitgebreide analyse van de aanvalscampagne is hier te vinden.