Лицензи за множество устройства (Отстъпки за количество)
Computer Security Китайският APT41 наруши правителствените мрежи на САЩ...

Китайският APT41 наруши правителствените мрежи на САЩ чрез приложението USAHerds

До Mura през Computer Securityг
Превод на:
български език

Изследователи по сигурността от Mandiant Security публикуваха неотдавнашен доклад, в който подробно описват констатациите си относно скорошната дейност на APT41 - организация за киберпрестъпления, за която се смята, че има подкрепа от китайската държава. Според Mandiant, APT41 успя да използва комбинация от Log4j атаки и уязвимости с нулев ден, за да компрометира няколко правителствени мрежи на САЩ.

Zero-day и Log4j се използват заедно

Въпросните уязвимости с нулев ден се намират в приложение, наречено USAHerds. Това е инструмент, използван от животновъдите в САЩ като "система за управление на информацията за здравето на животните". Приложението съществува от няколко години. Едва наскоро обаче APT41 успя да злоупотреби с пропуски в сигурността в него.

Смята се, че APT41 е спонсорирана от държавата китайска организация, която традиционно се занимава с кибер шпионаж . В тази последна атака изследователите забелязаха нови инструменти, нови методи за избягване на откриването и нови техники, използвани от заплахата.

Уязвимостта, използвана за достъп до американски мрежи, се проследява като CVE-2021-44207. Атаката използва двустранен подход, като също така използва прословутата уязвимост Log4j . Уязвимостта в USAHerds беше коригирана през ноември 2021 г. и разчиташе на използването от приложението на твърдо кодирани, статични ключове за валидиране и криптиране, което в крайна сметка позволява отдалечено изпълнение на код в системата.

Приложението споделя тези статични ключове във всички инсталирани екземпляри, вместо да генерира уникални при всяка инсталация, което е значителен проблем със сигурността, според изследователи.

Най-малко шест мрежи, достъпни от APT41

Няма начин да разберем как APT41 е успял да се сдобие със стойностите на споделените ключове, но след като имат достъп до тях, те могат да получат достъп до „всеки сървър“, работещ с приложението USAHerds. Въпреки че е известно, че шест правителствени мрежи на САЩ са били компрометирани при атаката, Mandiant очаква, че там има повече жертви, които просто не са записани.

APT41 е насочена към базирани в САЩ организации от дълго време, като атаките, свързани със същото облекло, датират от 2019 г. Групата е известна с това, че е остра и пъргава, когато става въпрос за избягване и използва усъвършенствани техники, когато прониква в целите си.

Зареждане...