Η κινεζική ομάδα Hacking APT40 κατηγορείται από τον Παγκόσμιο Συνασπισμό για παραβίαση κυβερνητικών δικτύων
Ένας συνασπισμός εθνών, συμπεριλαμβανομένων των ΗΠΑ, του Ηνωμένου Βασιλείου, του Καναδά, της Γερμανίας, της Ιαπωνίας, της Νέας Ζηλανδίας και της Νότιας Κορέας, εντάχθηκε στην Αυστραλία κατηγορώντας την κινεζική κρατική ομάδα hacking APT40 για διείσδυση σε κυβερνητικά δίκτυα. Αυτή η εξέλιξη ακολουθεί τις κυρώσεις του Μαρτίου 2024 κατά των μελών της APT31 , υπογραμμίζοντας τη διαρκή απειλή που παρουσιάζουν οι κινεζικοί φορείς προηγμένης επίμονης απειλής (APT).
Γνωστό με διάφορα ονόματα όπως Bronze Mohawk, Gingham Typhoon, Kryptonite Panda και Leviathan, το APT40 στοχεύει επανειλημμένα τα αυστραλιανά δίκτυα και αυτά στην ευρύτερη περιοχή. Η συμβουλευτική του συνασπισμού αναφέρει, "Το APT40 έχει επανειλημμένα στοχεύσει δίκτυα της Αυστραλίας καθώς και δίκτυα της κυβέρνησης και του ιδιωτικού τομέα στην περιοχή και η απειλή που αποτελούν για τα δίκτυά μας είναι συνεχής".
Το APT40 διεξάγει τακτικές επιχειρήσεις αναγνώρισης, εκμεταλλευόμενες παλιές και ευάλωτες συσκευές. Είναι έμπειροι στην ταχεία υιοθέτηση εκμεταλλεύσεων για νέα τρωτά σημεία, συμπεριλαμβανομένων αυτών σε ευρέως χρησιμοποιούμενο λογισμικό όπως το Atlassian Confluence (CVE-2021-26084), το Log4J (CVE-2021-44228) και το Microsoft Exchange (CVE-2021-31207, CVE-202 -34523, CVE-2021-34473) . Η συμβουλευτική προειδοποιεί ότι το APT40 αναμένεται να συνεχίσει να χρησιμοποιεί εκμεταλλεύσεις proof-of-concept (PoC) για νέα τρωτά σημεία υψηλού προφίλ λίγο μετά τη δημόσια κυκλοφορία τους.
Σε αντίθεση με πολλούς άλλους παράγοντες απειλών, το APT40 προτιμά να εκμεταλλεύεται ευάλωτη υποδομή που έχει πρόσβαση στο Διαδίκτυο για αρχική πρόσβαση αντί να βασίζεται σε phishing ή άλλες τεχνικές που βασίζονται στην αλληλεπίδραση με τους χρήστες. Διευκολύνουν τα διαπιστευτήρια για επακόλουθες επιχειρήσεις και καθιερώνουν επιμονή νωρίς στην αλυσίδα επίθεσης. Η ομάδα είναι γνωστό ότι διακυβεύει παλαιού τύπου συσκευές μικρού γραφείου/οικιακού γραφείου (SOHO), χρησιμοποιώντας τις ως σημεία εκκίνησης για επόμενες επιθέσεις που συνδυάζονται με νόμιμη κυκλοφορία δικτύου. Αυτή η τακτική συμμερίζεται και άλλοι κινεζικοί κρατικοί φορείς σε όλο τον κόσμο, αποτελώντας παγκόσμια απειλή.
Σε ένα αξιοσημείωτο περιστατικό, το APT40 διατήρησε πρόσβαση στο δίκτυο ενός αυστραλιανού οργανισμού από τον Ιούλιο έως τον Σεπτέμβριο του 2022. Καθιέρωσαν φορείς πολλαπλής πρόσβασης, διέφυγαν μεγάλες ποσότητες δεδομένων και μετακινήθηκαν πλευρικά εντός του δικτύου. Σε μια άλλη περίπτωση, η ομάδα παραβίασε την πύλη σύνδεσης απομακρυσμένης πρόσβασης ενός οργανισμού, εκμεταλλευόμενη ένα ελάττωμα που αποκαλύφθηκε δημοσίως στην εκτέλεση απομακρυσμένου κώδικα (RCE) για να διευρύνει αρκετές εκατοντάδες μοναδικά ζεύγη ονόματος χρήστη και κωδικού πρόσβασης.
Για να μετριαστεί ο κίνδυνος τέτοιων επιθέσεων, συνιστάται στους οργανισμούς να εφαρμόζουν ολοκληρωμένες δυνατότητες καταγραφής, να επιδιορθώνουν άμεσα όλες τις συσκευές που είναι προσβάσιμες στο Διαδίκτυο, να εφαρμόζουν τμηματοποίηση δικτύου, να απενεργοποιούν υπηρεσίες, θύρες και πρωτόκολλα που δεν χρησιμοποιούνται, να ενεργοποιούν τον έλεγχο ταυτότητας πολλαπλών παραγόντων και να αντικαθιστούν εξοπλισμό παλαιού τύπου. Οι κατασκευαστές λογισμικού καλούνται να υιοθετήσουν τις αρχές Secure by Design για να ενισχύσουν την ασφάλεια των προϊόντων τους.
Η συμβουλευτική του συνασπισμού τονίζει την ανάγκη για όλους τους οργανισμούς να επανεξετάσουν αυτές τις συστάσεις για τον εντοπισμό, την πρόληψη και την αποκατάσταση των εισβολών APT40. Με την υιοθέτηση αυτών των μέτρων, οι οργανισμοί μπορούν να ενισχύσουν την άμυνά τους έναντι των εξελιγμένων τεχνικών που χρησιμοποιούνται από το APT40 και άλλους φορείς απειλών που χρηματοδοτούνται από το κράτος.