اخترقت APT41 الصينية شبكات الحكومة الأمريكية من خلال تطبيق USAHerds

نشر باحثو الأمن في Mandiant security تقريرًا حديثًا يعرض بالتفصيل النتائج التي توصلوا إليها بشأن النشاط الأخير لـ APT41 - وهي جماعة جرائم إلكترونية يُعتقد أنها تحظى بدعم الدولة الصينية. وفقًا لمانديانت ، تمكنت APT41 من استخدام مزيج من هجمات Log4j وثغرات يوم الصفر لتهديد العديد من شبكات الحكومة الأمريكية.

تم استخدام Zero-days و Log4j معًا

تم العثور على ثغرات يوم الصفر المعنية في تطبيق يسمى USAHerds. إنها أداة يستخدمها مربي الماشية في جميع أنحاء الولايات المتحدة كـ "نظام إدارة معلومات صحة الحيوان". التطبيق موجود منذ عدة سنوات حتى الآن. ومع ذلك ، لم تتمكن APT41 إلا مؤخرًا من إساءة استخدام الثغرات الأمنية فيها.

يُعتقد أن APT41 هي جماعة مقرها الصين ترعاها الدولة وتشارك تقليديًا في التجسس الإلكتروني . اكتشف الباحثون في هذا الهجوم الأخير أدوات جديدة وطرقًا جديدة لتفادي الاكتشاف وتقنيات جديدة يستخدمها ممثل التهديد.

يتم تتبع الثغرة الأمنية المستخدمة للوصول إلى الشبكات الأمريكية على أنها CVE-2021-44207. استخدم الهجوم نهجًا ذا شقين ، حيث استفاد أيضًا من ثغرة Log4j سيئة السمعة. تم تصحيح الثغرة الأمنية في USAHerds في نوفمبر من عام 2021 واعتمدت على استخدام التطبيق لمفاتيح التشفير الثابتة والتحقق من الصحة والتشفير ، مما سمح في النهاية بتنفيذ التعليمات البرمجية عن بُعد على النظام.

شارك التطبيق هذه المفاتيح الثابتة عبر جميع المثيلات المثبتة ، بدلاً من إنشاء مفاتيح فريدة في كل تثبيت ، وهي مشكلة أمنية كبيرة ، وفقًا للباحثين.

تم الوصول إلى ست شبكات على الأقل بواسطة APT41

لا توجد طريقة لمعرفة كيف تمكنت APT41 من الحصول على قيم المفاتيح المشتركة ولكن بمجرد وصولها إلى هذه القيم ، يمكنهم الوصول إلى "أي خادم" يقوم بتشغيل تطبيق USAHerds. على الرغم من أنه من المعروف أن ست شبكات حكومية أمريكية تعرضت للاختراق في الهجوم ، إلا أن مانديانت تتوقع أن يكون هناك المزيد من الضحايا الذين لم يتم تسجيلهم ببساطة.

تستهدف APT41 الكيانات التي تتخذ من الولايات المتحدة مقراً لها منذ فترة طويلة الآن ، مع هجمات مرتبطة بنفس الجهاز يعود تاريخها إلى عام 2019. تشتهر المجموعة بكونها حادة وذكية عندما يتعلق الأمر بالتهرب وتستخدم تقنيات متقدمة عند التسلل إلى أهدافها.