Hiina APT40 häkkimisrühma süüdistas ülemaailmne koalitsioon valitsusvõrkude häkkimises

Riikide koalitsioon, sealhulgas USA, Ühendkuningriik, Kanada, Saksamaa, Jaapan, Uus-Meremaa ja Lõuna-Korea, ühines Austraaliaga, süüdistades Hiina riiklikult toetatud häkkimisrühmitust APT40 valitsusvõrkudesse imbumises. See areng järgneb 2024. aasta märtsis APT31 liikmete vastu kehtestatud sanktsioonidele, tuues esile Hiina arenenud püsiva ohu (APT) osalejate püsiva ohu.

APT40, mida tuntakse erinevate nimede all, nagu Bronze Mohawk, Gingham Typhoon, Kryptonite Panda ja Leviathan, on korduvalt sihtinud Austraalia ja laiema piirkonna võrke. Koalitsiooni nõuandes öeldakse: "APT40 on korduvalt sihikule võtnud Austraalia võrke, samuti valitsuse ja erasektori võrke piirkonnas ning oht, mida need meie võrkudele kujutavad, on jätkuv."

APT40 viib läbi regulaarseid luureoperatsioone, kasutades ära vanu ja haavatavaid seadmeid. Nad on osavad uute turvaaukude, sealhulgas laialdaselt kasutatavate tarkvarade, nagu Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) ja Microsoft Exchange (CVE-2021-31207, CVE-2021) ärakasutamise kiireks kasutuselevõtuks. -34523, CVE-2021-34473) . Nõuanne hoiatab, et APT40 jätkab varsti pärast nende avalikku avaldamist uute kõrgetasemeliste haavatavuste jaoks kontseptsiooni tõestamise (PoC) ärakasutamist.

Erinevalt paljudest teistest ohus osalejatest eelistab APT40 esmaseks juurdepääsuks ära kasutada haavatavat Interneti-poolset infrastruktuuri, selle asemel, et toetuda andmepüügile või muudele kasutaja interaktsioonil põhinevatele tehnikatele. Nad eraldavad mandaadid järelmeetmete jaoks ja loovad püsivuse rünnakuahela alguses. Rühm on teadaolevalt ohustanud väikese kontori/kodukontori (SOHO) pärandseadmeid, kasutades neid järgmiste rünnakute käivituspunktidena, mis sulanduvad legitiimse võrguliiklusega. Seda taktikat jagavad ka teised Hiina riiklikult toetatavad osalejad kogu maailmas, mis kujutab endast ülemaailmset ohtu.

Ühe märkimisväärse intsidendi korral säilitas APT40 juurdepääsu Austraalia organisatsiooni võrgule 2022. aasta juulist septembrini. Nad lõid mitu juurdepääsuvektorit, eraldasid suure hulga andmeid ja liikusid võrgus külgsuunas. Teisel juhul ohustas rühm organisatsiooni kaugjuurdepääsu sisselogimisportaali, kasutades avalikult avalikustatud koodi kaugkäivitamise (RCE) viga, et väljafiltreerida mitusada unikaalset kasutajanime ja parooli paari.

Selliste rünnete riski vähendamiseks soovitatakse organisatsioonidel rakendada kõikehõlmavaid logimisvõimalusi, parandada kiiresti kõik Interneti-juurdepääsuga seadmed, rakendada võrgu segmenteerimist, keelata kasutamata teenused, pordid ja protokollid, lubada mitmefaktoriline autentimine ja asendada pärandseadmed. Tarkvaratootjatel soovitatakse oma toodete turvalisuse suurendamiseks kasutusele võtta Secure by Design põhimõtted.

Koalitsiooni nõuanded rõhutavad, et kõik organisatsioonid peavad need soovitused üle vaatama, et tuvastada, ennetada ja kõrvaldada APT40 sissetungi. Nende meetmete vastuvõtmisega saavad organisatsioonid tugevdada oma kaitset keerukate tehnikate vastu, mida APT40 ja teised riiklikult toetatud ohus osalejad kasutavad.