Norske Visma ble 17. august 2018 utsatt for et angrep utført av den statstøttede hackergruppen APT10. Gruppen APT10 er også kjent under navnene Stone Panda, Red Apollo, CVNX, POTASSIUM, og MenuPass. Gruppen er lenge antatt å være kinesisk og i desember 2018 Tok det amerikanske rettsvesen ut tiltale mot to av gruppens kinesiske medlemmer.
Inngangsporten for angrepet var en stjålet identitet brukt for pålogg mot Citrix slik at hackerene fikk tilgang til Visma interne nettverk. Når Hackerene først var på innsiden installerte de de to trojanere, Trochilus remote access trojan og Uppercut backdoor.
Visma sine overvåkningssystemer oppdaget angrepet i september og bedriften sier i en uttalelse publisert i går, nesten et halvt år etter at innbruddet skjedde at kun bedriftens interne data ble berørt av innbruddet og at ingen kundedata ble tatt. Hackerenes mål var trolig å infisere programvaren fra Visma slik at også Vismas kunder over tid ville blitt infisert.
Ut i fra rapporten fra Recorded Future og Rapid 7 som Visma har benyttet for å analysere hendelsene ser det ikke ut til at Visma benyttet tofaktor autentisering for pålogg mot interne systemer.
Visma er en av Europas største skybaserte softwareleverandør og har rundt 8.500 ansatte og 850.000 kunder.
Rapporten fra Rapid 7 og Recorded Future er tilgjengelig her: https://www.recordedfuture.com/apt10-cyberespionage-campaign/
