其他時間,駭客利用受害者的dropbox等網路來存放資訊。有一家公司事後發現,有來自五家不同公司的數據被藏匿在其網路中。
最初的幾個月,麥康齊的團隊開始與其他同樣發現幽靈的安全公司分享情報。有時駭客會嘲弄追擊者,甚至為攻擊行動註冊網域名稱,如gostudyantivirus.com和originalspies.com。
Secureworks安全研究主管麥勒蘭(Mike McLellan)稱,很少見到中國APT組織這樣嘲笑研究人員。他還表示,APT10有時還會在惡意軟體中加入侮辱研究人員的話。
駭客最重要的目標之一是慧與公司,該公司的企業雲端服務替數十個國家的數千家公司處理敏感數據。2016年慧與公司Twitter發布的一段宣傳影片顯示,它的客戶飛利浦管理著2萬兆兆位元組的數據,包括數百萬條臨床研究資訊以及一款面向糖尿病患者的應用程式。
知情人士透露,至少從2014年初開始,APT10一直是慧與公司面臨的嚴重問題,該公司不會每次都一五一十告訴客戶雲端問題的嚴重程度。
幾名消息人士透露,讓情況更加複雜的是,駭客侵入了該公司的網路事件應對團隊。消息人士稱,慧與努力清理病毒時,駭客也對這個過程進行了監控,並再次入侵清理後的系統,重啟了整個循環。
慧與發言人Bauer說:「我們努力對駭客侵入事件進行了補救,直到我們相信入侵者已經從涉事系統中清除出去。」
入侵事件發生期間,慧與將企業雲端業務剝離到一家新公司DXC Technology。慧與當時在公開文件中說,「安全漏洞」沒有導致嚴重損失。
DXC發言人雅達莫尼斯(Richard Adamonis)表示:「網路安全事件沒有為DXC或DXC的客戶帶來嚴重負面影響。」
飛利浦(Philips)發言人表示,慧與提供的服務「不包括患者數據的儲存、管理或轉移。」
反擊者行動
第一次真正的反擊行動於2017年初啟動。反擊者的隊伍不斷擴大,目前包括數家安全公司、被感染的雲端服務公司和數十家受害企業。
幾位知情人士稱,西方政府施壓後,這些雲端服務公司變得更為配合,原本有些公司一開始還拒絕共享資訊。
首先,調查人員在受害企業的系統中植入假的行事曆,讓駭客誤以為IT管理人員將在某個周末外出辦事,目的是誘使駭客相信,該公司尚未懷疑有不妥之處,駭客也未被公司發現。
之後,調查人員在駭客通常活動時段以外迅速行動,立刻切斷駭客的進入管道,關閉那些遭入侵的帳戶並隔離被感染的服務器。
調查人員稱,APT10很快就會捲土重來並盯上新的受害者,包括金融服務公司。