黑客声称通过受陷 MSP 获得对50家美国企业的访问权限

网络安全专家提醒称，某黑客论坛上有人声称通过一个未具名的管理服务提供商获得对50家美国企业的访问权限。

管理服务提供商通过管理IT基础设施和提供支持而获得报酬，通常为没有IT部门的规模较小的组织机构服务。近年来，管理服务提供商被网络安全机构列为黑客实施利用的潜在易受攻击访问点。

网络安全公司 Huntress 公司的资深事件响应师 Harlan Carvey 表示，7月18日，名为 “Beeper” 的用户在 exploit[.]in 上用俄语发布帖子，寻求对某管理服务提供商访问权限的变现，“寻找 MSP 处理的合伙伙伴。我拥有对50多家企业的MSP面板的访问权限。超过100台 ESXi、1000多台服务器。我想量化工作但人手不够。从准备方面看只剩下一小部分工作，因此我的利润分成较高。请发送讯息获取更多详情和建议。”

多名网络安全专家在推特和其它社交网站上分享了这条消息，并提醒称注意这类访问权限的潜在后果。Carvey 表示该黑客似乎获得对某管理服务提供商管理系统的访问权限并已经做出了一些初始工作，“听起来他们似乎做了一些准备，可能是识别具有高权限级别的账户。因此任何接受这份邀约的人员无需做太多‘繁重’工作就能实现任何目标。目前似乎并未牵涉任何数据，他们的意图也不明朗，可能取决于响应该报告的人员。原始博主似乎会主动回复问题并提供更多详情。”Carvey 还表示，从自己对管理服务提供商的典型客户库来看，个人详情、业务数据和医疗信息可能会面临风险。

有人在网上指出，位于堪萨斯市的管理服务提供商 NetStandard 在本周三早晨表示其托管环境遭网络攻击。该公司并未置评但告知客户称是在上周二发现的这起攻击事件，并且“正在隔离威胁，将影响降至最小。”

该公司指出，“MyAppsAnywhere 服务包括 Hosted GP、Hosted CRM、Hosted Exchange 和 Hosted Sharepoint 将下线，后续情况将另行通知。目前无法提供更多关于影响范围的信息或者解决的时间。我们正在和网络安全保险厂商联手识别攻击来源并判断环境何时可恢复。”

五月份，英国（NCSC-UK）、澳大利亚 (ACSC)、加拿大 (CCCS)、新西兰 (NCSC-NZ) 和美国 (FBI、CISA和NSA) 提醒称黑客和APT组织已加大投入攻击管理服务提供商，利用提供商与客户的网络信任关系。其中近年来发生的最著名的就是 SolarWinds 和 Kaseya，由于它们拥有对数百家企业和政府机构的访问权限，因此造成大规模破坏。

CISA 也提出警告称，政府机构注意到针对管理服务提供商的恶意网络活动在增长，并表示它们认为“这一趋势将持续”。CISA 的局长 Jen Easterly 表示，“目前公告清晰地说明恶意网络人员继续攻击管理服务提供商，这可大大提高对所支持企业和组织机构的下游风险，因此管理服务提供商和客户必须采取行动保护网络安全。”

这些机构为管理服务提供商提供了一些建议，如加固对密码喷射和钓鱼攻击的防御措施。

奥巴马执政时期的网络安全特派员、现任VMware 公司的网络安全战略负责人 Tom Kellermann 此前曾表示，网络犯罪组织研究了金融机构之间的相互依赖性，对于所使用的管理服务提供商拥有更好的了解。

他指出，“反过来，攻击者攻击这些组织机构，进入银行。流氓民族国家喜欢这种网络殖民化方法。”他指出，此前攻击者攻击第三方获得对另外一个实体的访问权限。VMware 公司发现此类攻击在去年增长了58%。他表示，“我担心随着网络空间内地缘政治局势紧张，这些攻击将升级，俄罗斯网络间谍将利用这一策略在整个管理服务提供商的客户库中部署破坏性恶意软件。”