Китайска хакерска група APT40, обвинена от Глобалната коалиция за хакване на правителствени мрежи

Коалиция от нации, включително САЩ, Обединеното кралство, Канада, Германия, Япония, Нова Зеландия и Южна Корея, се присъедини към Австралия в обвинението на китайската държавна хакерска група APT40 за проникване в правителствени мрежи. Това развитие следва санкциите от март 2024 г. срещу членовете на APT31 , подчертавайки постоянната заплаха, представлявана от китайски напреднали участници в постоянна заплаха (APT).

Известен под различни имена като Бронзов ирокез, Гингамов тайфун, Криптонитна панда и Левиатан, APT40 многократно се насочва към австралийските мрежи и тези в по-широкия регион. Консултативният съвет на коалицията гласи: „APT40 многократно е насочвал австралийските мрежи, както и мрежите на правителството и частния сектор в региона, и заплахата, която те представляват за нашите мрежи, продължава.“

APT40 провежда редовни разузнавателни операции, като използва стари и уязвими устройства. Те са умели в бързото приемане на експлойти за нови уязвимости, включително тези в широко използван софтуер като Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) и Microsoft Exchange (CVE-2021-31207, CVE-2021 -34523, CVE-2021-34473) . Уведомлението предупреждава, че APT40 се очаква да продължи да използва експлойти за доказване на концепцията (PoC) за нови уязвимости с висок профил малко след публичното им пускане.

За разлика от много други заплахи, APT40 предпочита да използва уязвима, насочена към интернет инфраструктура за първоначален достъп, вместо да разчита на фишинг или други техники, базирани на взаимодействие с потребителя. Те ексфилтрират идентификационни данни за последващи операции и установяват постоянство в началото на веригата на атаката. Известно е, че групата компрометира наследени устройства за малки офиси/домашен офис (SOHO), като ги използва като стартови точки за последващи атаки, които се смесват с легитимен мрежов трафик. Тази тактика се споделя от други китайски държавно спонсорирани актьори по целия свят, което представлява глобална заплаха.

При един забележителен инцидент APT40 поддържаше достъп до мрежата на австралийска организация между юли и септември 2022 г. Те установиха множество вектори за достъп, ексфилтрираха големи количества данни и се движеха странично в мрежата. В друг случай групата е компрометирала портала за влизане в системата за отдалечен достъп на организация, използвайки публично разкрит пропуск при изпълнение на отдалечен код (RCE), за да ексфилтрира няколкостотин уникални двойки потребителско име и парола.

За да намалят риска от подобни атаки, организациите се съветват да внедрят всеобхватни възможности за регистриране, незабавно да заправят всички достъпни в интернет устройства, да внедрят сегментиране на мрежата, да деактивират неизползваните услуги, портове и протоколи, да активират многофакторно удостоверяване и да заменят наследеното оборудване. Производителите на софтуер се приканват да приемат принципите на Secure by Design, за да подобрят сигурността на своите продукти.

Консултативният съвет на коалицията подчертава необходимостта всички организации да преразгледат тези препоръки, за да идентифицират, предотвратят и коригират прониквания на APT40. Чрез приемането на тези мерки организациите могат да засилят защитата си срещу усъвършенстваните техники, използвани от APT40 и други субекти, спонсорирани от държавата.