Kinesisk APT40 Hacking Group beskyldt af Global Coalition for at hacke regeringsnetværk

En koalition af nationer, herunder USA, Storbritannien, Canada, Tyskland, Japan, New Zealand og Sydkorea, har sluttet sig til Australien for at give den kinesiske statssponsorerede hackergruppe APT40 skylden for at infiltrere regeringsnetværk. Denne udvikling følger sanktionerne fra marts 2024 mod APT31-medlemmer , der fremhæver den vedvarende trussel fra kinesiske avancerede persistente trusler (APT)-aktører.

Kendt under forskellige navne såsom Bronze Mohawk, Gingham Typhoon, Kryptonite Panda og Leviathan, har APT40 gentagne gange været rettet mod australske netværk og dem i den bredere region. Koalitionens rådgivende udtalelse siger: "APT40 har gentagne gange rettet sig mod australske netværk såvel som offentlige og private netværk i regionen, og den trussel, de udgør for vores netværk, er vedvarende."

APT40 udfører regelmæssige rekognosceringsoperationer og udnytter gamle og sårbare enheder. De er dygtige til hurtigt at anvende udnyttelser til nye sårbarheder, herunder dem i udbredt software som Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) og Microsoft Exchange (CVE-2021-31207, CVE-2021) -34523, CVE-2021-34473) . Rådgivningen advarer om, at APT40 forventes at fortsætte med at bruge proof-of-concept (PoC) udnyttelser til nye højprofilerede sårbarheder kort efter deres offentlige udgivelse.

I modsætning til mange andre trusselsaktører foretrækker APT40 at udnytte sårbar, internetvendt infrastruktur til indledende adgang frem for at stole på phishing eller andre brugerinteraktionsbaserede teknikker. De eksfiltrerer legitimationsoplysninger til opfølgende operationer og etablerer persistens tidligt i angrebskæden. Gruppen har været kendt for at kompromittere ældre small-office/home-office (SOHO)-enheder ved at bruge dem som startpunkter for efterfølgende angreb, der blander sig med legitim netværkstrafik. Denne taktik deles af andre kinesiske statssponsorerede aktører verden over, hvilket udgør en global trussel.

I en bemærkelsesværdig hændelse opretholdt APT40 adgang til en australsk organisations netværk mellem juli og september 2022. De etablerede flere adgangsvektorer, eksfiltrerede store mængder data og bevægede sig sideværts inden for netværket. I et andet tilfælde kompromitterede gruppen en organisations login-portal til fjernadgang og udnyttede en offentligt offentliggjort RCE-fejl (Remote Code Execution) til at udslette flere hundrede unikke brugernavne og adgangskoder.

For at mindske risikoen for sådanne angreb rådes organisationer til at implementere omfattende logningsfunktioner, omgående patche alle internet-tilgængelige apparater, implementere netværkssegmentering, deaktivere ubrugte tjenester, porte og protokoller, aktivere multi-faktor-godkendelse og udskifte ældre udstyr. Softwareproducenter opfordres indtrængende til at vedtage Secure by Design-principper for at øge sikkerheden for deres produkter.

Koalitionens rådgivning understreger behovet for, at alle organisationer gennemgår disse anbefalinger for at identificere, forhindre og afhjælpe APT40-indtrængen. Ved at vedtage disse foranstaltninger kan organisationer styrke deres forsvar mod de sofistikerede teknikker, der anvendes af APT40 og andre statssponsorerede trusselsaktører.