Kinesisk APT41 brød amerikanske regeringsnetværk gennem USAHerds-appen

Sikkerhedsforskere med Mandiant-sikkerhed offentliggjorde en nylig rapport, der beskriver deres resultater om seneste aktivitet af APT41 - en cyberkriminalitet, der menes at have kinesisk statsstøtte. Ifølge Mandiant lykkedes det APT41 at bruge en kombination af Log4j-angreb og zero-day sårbarheder til at kompromittere adskillige amerikanske regeringsnetværk.

Zero-days og Log4j brugt sammen

De pågældende nul-dages sårbarheder findes i en applikation kaldet USAHerds. Det er et værktøj, der bruges af husdyrbrugere i hele USA som et "dyresundhedsinformationsstyringssystem". Applikationen har eksisteret i en årrække nu. Det var dog først for nylig, at APT41 formåede at misbruge sikkerhedsfejl i den.

APT41 menes at være et statssponsoreret kinesisk-baseret tøj, der traditionelt beskæftiger sig med cyberspionage. I dette seneste angreb opdagede forskere nye værktøjer, nye metoder til at undgå opdagelse og nye teknikker anvendt af trusselsaktøren.

Den sårbarhed, der bruges til at få adgang til amerikanske netværk, spores som CVE-2021-44207. Angrebet brugte en tostrenget tilgang, der også udnyttede den berygtede Log4j-sårbarhed. Sårbarheden i USAHerds blev rettet i november 2021 og var afhængig af applikationens brug af hårdkodede, statiske validerings- og krypteringsnøgler, hvilket til sidst tillod fjernudførelse af kode på systemet.

Applikationen delte disse statiske nøgler på tværs af alle installerede forekomster i stedet for at generere unikke på hver installation, hvilket er et væsentligt sikkerhedsproblem, ifølge forskere.

Mindst seks netværk, som APT41 har adgang til

Der er ingen måde at vide, hvordan APT41 formåede at få fat i de delte nøgleværdier, men når de først havde adgang til dem, kunne de få adgang til "enhver server", der kører USAHerds-applikationen. Selvom seks amerikanske regeringsnetværk er kendt for at være blevet kompromitteret i angrebet, forventer Mandiant, at der er flere ofre derude, som simpelthen ikke er blevet registreret.

APT41 har været rettet mod USA-baserede enheder i lang tid nu, med angreb forbundet med det samme outfit, der går tilbage til 2019. Gruppen er kendt for at være skarp og smidig, når det kommer til unddragelse og bruge avancerede teknikker, når de infiltrerer sine mål.