Çin APT41, USAHerds Uygulaması Aracılığıyla ABD Hükümeti Ağlarını İhlal Etti

Mandiant güvenliğine sahip güvenlik araştırmacıları, Çin devletinin desteğine sahip olduğuna inanılan bir siber suç örgütü olan APT41'in son faaliyetlerine ilişkin bulgularını detaylandıran yakın tarihli bir rapor yayınladı. Mandiant'a göre, APT41, birkaç ABD hükümet ağını tehlikeye atmak için Log4j saldırıları ve sıfır gün güvenlik açıklarının bir kombinasyonunu kullanmayı başardı.

Sıfır günler ve Log4j birlikte kullanılır

Söz konusu sıfır gün güvenlik açıkları USAHerds adlı bir uygulamada bulunuyor. ABD genelinde hayvancılık çiftçileri tarafından "hayvan sağlığı bilgi yönetim sistemi" olarak kullanılan bir araçtır. Uygulama birkaç yıldan beri var. Ancak, APT41'in güvenlik açıklarını kötüye kullanması ancak son zamanlarda oldu.

APT41'in geleneksel olarak siber casusluk yapan, devlet destekli Çin merkezli bir ekip olduğuna inanılıyor. Bu son saldırıda araştırmacılar yeni araçlar, tespitten kaçmak için yeni yöntemler ve tehdit aktörü tarafından kullanılan yeni teknikler keşfettiler.

ABD ağlarına erişmek için kullanılan güvenlik açığı CVE-2021-44207 olarak izleniyor. Saldırı, iki yönlü bir yaklaşım kullandı ve aynı zamanda meşhur Log4j güvenlik açığından da yararlandı. USAHerds'teki güvenlik açığı Kasım 2021'de düzeltildi ve uygulamanın sabit kodlu, statik doğrulama ve şifreleme anahtarlarını kullanmasına dayanıyordu ve sonuçta sistemde uzaktan kod yürütülmesine izin verildi.

Uygulama, araştırmacılara göre önemli bir güvenlik sorunu olan her kurulumda benzersiz anahtarlar oluşturmak yerine bu statik anahtarları tüm kurulu örneklerde paylaştı.

APT41 tarafından erişilen en az altı ağ

APT41'in paylaşılan anahtar değerleri nasıl ele geçirdiğini bilmenin bir yolu yoktur, ancak bunlara eriştiklerinde USAHerds uygulamasını çalıştıran "herhangi bir sunucuya" erişim elde edebilirler. Altı ABD hükümet ağının saldırıda güvenliğinin ihlal edildiği bilinmesine rağmen, Mandiant orada kaydedilmemiş daha fazla kurban olmasını bekliyor.

APT41, 2019 yılına kadar uzanan aynı ekiple ilişkili saldırılarla uzun süredir ABD merkezli varlıkları hedef alıyor. Grup, kaçırma söz konusu olduğunda keskin ve çevik olması ve hedeflerine sızarken gelişmiş teknikler kullanmasıyla biliniyor.