Čínský APT41 narušil vládní sítě USA prostřednictvím aplikace USAHerds

Bezpečnostní výzkumníci z Mandiant security zveřejnili nedávnou zprávu podrobně popisující jejich zjištění o nedávné činnosti APT41 – organizace zabývající se kyberzločinem, o níž se předpokládá, že má podporu čínského státu. Podle Mandiantu se APT41 podařilo použít kombinaci útoků Log4j a zero-day zranitelnosti ke kompromitaci několika amerických vládních sítí.

Zero-days a Log4j používané společně

Dotyčné zero-day zranitelnosti se nacházejí v aplikaci nazvané USAHerds. Jedná se o nástroj používaný chovateli hospodářských zvířat v USA jako „systém správy informací o zdraví zvířat“. Aplikace existuje již několik let. Teprve nedávno se v něm ale APT41 podařilo zneužít bezpečnostní chyby.

Předpokládá se, že APT41 je státem sponzorovaná čínská organizace, která se tradičně zabývá kybernetickou špionáží . V tomto nejnovějším útoku výzkumníci objevili nové nástroje, nové metody, jak se vyhnout detekci, a nové techniky používané aktérem hrozby.

Chyba zabezpečení použitá pro přístup k americkým sítím je sledována jako CVE-2021-44207. Útok použil dvoustranný přístup, který také využil nechvalně proslulou zranitelnost Log4j . Chyba zabezpečení v USAHerds byla opravena v listopadu 2021 a spoléhala na použití pevně zakódovaných, statických ověřovacích a šifrovacích klíčů aplikací, což nakonec umožnilo vzdálené spuštění kódu v systému.

Aplikace sdílela tyto statické klíče napříč všemi nainstalovanými instancemi, místo aby generovala jedinečné klíče při každé instalaci, což je podle výzkumníků významný bezpečnostní problém.

Nejméně šest sítí, ke kterým přistupuje APT41

Neexistuje způsob, jak zjistit, jak se APT41 podařilo získat hodnoty sdíleného klíče, ale jakmile k nim měli přístup, mohli získat přístup k „jakémukoli serveru“ s aplikací USAHerds. I když je známo, že při útoku bylo kompromitováno šest amerických vládních sítí, Mandiant očekává, že tam venku je více obětí, které prostě nebyly zaznamenány.

APT41 se zaměřuje na subjekty sídlící v USA již dlouhou dobu, přičemž útoky spojené se stejným oblečením se datují do roku 2019. Skupina je známá tím, že je ostrá a hbitá, pokud jde o úniky a používá pokročilé techniky při infiltraci svých cílů.