Čínská hackerská skupina APT40, kterou globální koalice obviňuje z hackování vládních sítí

Koalice národů, včetně USA, Velké Británie, Kanady, Německa, Japonska, Nového Zélandu a Jižní Koreje, se připojila k Austrálii a obvinila čínskou státem podporovanou hackerskou skupinu APT40 z infiltrace vládních sítí. Tento vývoj následuje po sankcích z března 2024 proti členům APT31 a zdůrazňuje trvalou hrozbu, kterou představují čínští aktéři pokročilého trvalého ohrožení (APT).

APT40, známý pod různými jmény jako Bronze Mohawk, Gingham Typhoon, Kryptonite Panda a Leviathan, opakovaně cílí na australské sítě a ty v širším regionu. Poradní prohlášení koalice uvádí: "APT40 se opakovaně zaměřoval na australské sítě i na sítě vládního a soukromého sektoru v regionu a hrozba, kterou představují pro naše sítě, stále trvá."

APT40 provádí pravidelné průzkumné operace a využívá stará a zranitelná zařízení. Jsou zběhlí v rychlém přijímání exploitů pro nové zranitelnosti, včetně těch v široce používaném softwaru, jako je Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) a Microsoft Exchange (CVE-2021-31207, CVE-2021). -34523, CVE-2021-34473) . Upozornění varuje, že se očekává, že APT40 bude i nadále používat proof-of-concept (PoC) exploity pro nové vysoce profilované zranitelnosti krátce po jejich veřejném vydání.

Na rozdíl od mnoha jiných aktérů hrozeb APT40 raději využívá zranitelnou internetovou infrastrukturu pro počáteční přístup, než aby se spoléhal na phishing nebo jiné techniky založené na interakci uživatelů. Získávají pověření pro následné operace a na počátku řetězce útoků nastolují stálost. O této skupině je známo, že kompromituje starší zařízení pro malé kanceláře/domácí kanceláře (SOHO) a používá je jako startovací body pro následné útoky, které se mísí s legitimním síťovým provozem. Tuto taktiku sdílejí i další čínskí státem podporovaní aktéři po celém světě, což představuje globální hrozbu.

V jednom pozoruhodném incidentu si APT40 udržela přístup k síti australské organizace mezi červencem a zářím 2022. Vytvořila několik přístupových vektorů, exfiltrovala velká množství dat a přesunula se v rámci sítě do stran. V jiném případě skupina narušila přihlašovací portál organizace pro vzdálený přístup a zneužila veřejně zveřejněnou chybu vzdáleného spuštění kódu (RCE) k exfiltraci několika stovek jedinečných párů uživatelských jmen a hesel.

Aby se zmírnilo riziko takových útoků, organizacím se doporučuje implementovat komplexní funkce protokolování, urychleně opravovat všechna zařízení dostupná přes internet, implementovat segmentaci sítě, deaktivovat nepoužívané služby, porty a protokoly, povolit vícefaktorovou autentizaci a nahradit starší zařízení. Výrobci softwaru jsou vyzýváni, aby přijali principy Secure by Design pro zvýšení bezpečnosti svých produktů.

Poradenství koalice zdůrazňuje, že je nutné, aby všechny organizace přezkoumaly tato doporučení za účelem identifikace, prevence a nápravy narušení APT40. Přijetím těchto opatření mohou organizace posílit svou obranu proti sofistikovaným technikám, které používá APT40 a další státem podporovaní aktéři hrozeb.