مجموعة القرصنة الصينية APT40 متهمة من قبل التحالف العالمي باختراق الشبكات الحكومية

انضم تحالف من الدول، بما في ذلك الولايات المتحدة والمملكة المتحدة وكندا وألمانيا واليابان ونيوزيلندا وكوريا الجنوبية، إلى أستراليا في إلقاء اللوم على مجموعة القرصنة الصينية التي ترعاها الدولة APT40 لاختراق الشبكات الحكومية. يأتي هذا التطور في أعقاب العقوبات التي فرضت في مارس 2024 ضد أعضاء APT31 ، مما يسلط الضوء على التهديد المستمر الذي تشكله الجهات الفاعلة الصينية في مجال التهديد المستمر المتقدم (APT).

تُعرف APT40 بأسماء مختلفة مثل Bronze Mohawk وGingham Typhoon وKryptonite Panda وLeviathan، وقد استهدفت بشكل متكرر الشبكات الأسترالية وتلك الموجودة في المنطقة الأوسع. وجاء في تقرير التحالف أن "APT40 استهدفت بشكل متكرر الشبكات الأسترالية وكذلك شبكات الحكومة والقطاع الخاص في المنطقة، والتهديد الذي تشكله على شبكاتنا مستمر".

تجري APT40 عمليات استطلاع منتظمة، مستغلة الأجهزة القديمة والضعيفة. إنهم بارعون في تبني عمليات استغلال الثغرات الجديدة بسرعة، بما في ذلك تلك الموجودة في البرامج المستخدمة على نطاق واسع مثل Atlassian Confluence (CVE-2021-26084)، وLog4J (CVE-2021-44228) ، و Microsoft Exchange (CVE-2021-31207، وCVE-2021). -34523، CVE-2021-34473) . ويحذر الاستشارة من أنه من المتوقع أن تستمر APT40 في استخدام عمليات استغلال إثبات المفهوم (PoC) لثغرات أمنية جديدة رفيعة المستوى بعد وقت قصير من إصدارها للعامة.

وعلى عكس العديد من جهات التهديد الأخرى، تفضل APT40 استغلال البنية التحتية الضعيفة التي تواجه الإنترنت للوصول الأولي بدلاً من الاعتماد على التصيد الاحتيالي أو التقنيات الأخرى القائمة على تفاعل المستخدم. إنهم يستخرجون أوراق الاعتماد لعمليات المتابعة ويثبتون الثبات في وقت مبكر من سلسلة الهجوم. ومن المعروف أن المجموعة تخترق أجهزة المكاتب الصغيرة والمكاتب المنزلية (SOHO) القديمة، وتستخدمها كنقاط إطلاق لهجمات لاحقة تمتزج مع حركة مرور الشبكة المشروعة. وتتقاسم جهات فاعلة أخرى ترعاها الدولة الصينية في جميع أنحاء العالم هذا التكتيك، مما يشكل تهديدًا عالميًا.

وفي إحدى الحوادث البارزة، حافظت APT40 على إمكانية الوصول إلى شبكة مؤسسة أسترالية بين يوليو وسبتمبر 2022. وقد أنشأت ناقلات وصول متعددة، وتسللت كميات كبيرة من البيانات، وانتقلت أفقيًا داخل الشبكة. وفي حالة أخرى، قامت المجموعة باختراق بوابة تسجيل الدخول عن بعد الخاصة بالمؤسسة، مستغلة ثغرة تم الكشف عنها علنًا في تنفيذ التعليمات البرمجية عن بعد (RCE) لتصفية عدة مئات من أزواج اسم المستخدم وكلمة المرور الفريدة.

وللتخفيف من مخاطر مثل هذه الهجمات، ننصح المؤسسات بتنفيذ إمكانات تسجيل شاملة، وتصحيح جميع الأجهزة التي يمكن الوصول إليها عبر الإنترنت على الفور، وتنفيذ تجزئة الشبكة، وتعطيل الخدمات والمنافذ والبروتوكولات غير المستخدمة، وتمكين المصادقة متعددة العوامل، واستبدال المعدات القديمة. يتم حث مصنعي البرامج على اعتماد مبادئ Secure by Design لتعزيز أمان منتجاتهم.

تؤكد استشارة التحالف على ضرورة قيام جميع المنظمات بمراجعة هذه التوصيات لتحديد ومنع ومعالجة اختراقات APT40. ومن خلال اعتماد هذه التدابير، يمكن للمؤسسات تعزيز دفاعاتها ضد التقنيات المتطورة التي تستخدمها APT40 وغيرها من الجهات الفاعلة التي ترعاها الدول.