گروه هک APT40 چینی توسط ائتلاف جهانی برای هک شبکه های دولتی مقصر شناخته شد

ائتلافی از کشورها، از جمله ایالات متحده، بریتانیا، کانادا، آلمان، ژاپن، نیوزیلند و کره جنوبی، به استرالیا پیوستند و گروه هکری تحت حمایت دولت چین APT40 را برای نفوذ به شبکه‌های دولتی مقصر دانستند. این پیشرفت به دنبال تحریم‌های مارس 2024 علیه اعضای APT31 صورت می‌گیرد که تهدید دائمی ناشی از تهدیدات دائمی پیشرفته چینی (APT) را برجسته می‌کند.

APT40 که با نام‌های مختلفی مانند برنز موهاوک، Gingham Typhoon، Kryptonite Panda و Leviathan شناخته می‌شود، بارها شبکه‌های استرالیا و آن‌ها را در منطقه وسیع‌تر هدف قرار داده است. در مشاوره ائتلاف آمده است: "APT40 بارها شبکه های استرالیایی و همچنین شبکه های دولتی و بخش خصوصی در منطقه را هدف قرار داده است و تهدید آنها برای شبکه های ما ادامه دارد."

APT40 عملیات شناسایی منظم را انجام می دهد و از دستگاه های قدیمی و آسیب پذیر بهره برداری می کند. آنها در اتخاذ سریع اکسپلویت‌ها برای آسیب‌پذیری‌های جدید، از جمله مواردی که در نرم‌افزارهای پرکاربرد مانند Atlassian Confluence (CVE-2021-26084)، Log4J (CVE-2021-44228) و Microsoft Exchange (CVE-2021-31207، CVE-202) مهارت دارند. -34523، CVE-2021-34473) . این توصیه هشدار می‌دهد که انتظار می‌رود APT40 به مدت کوتاهی پس از انتشار عمومی، به استفاده از اکسپلویت‌های اثبات مفهوم (PoC) برای آسیب‌پذیری‌های جدید با مشخصات بالا ادامه دهد.

برخلاف بسیاری دیگر از عوامل تهدید، APT40 ترجیح می‌دهد از زیرساخت‌های آسیب‌پذیر و رو به اینترنت برای دسترسی اولیه به جای تکیه بر فیشینگ یا سایر تکنیک‌های مبتنی بر تعامل کاربر، بهره‌برداری کند . آن‌ها اعتبار عملیات‌های بعدی را استخراج می‌کنند و در اوایل زنجیره حمله پایداری می‌کنند. این گروه شناخته شده است که دستگاه‌های قدیمی دفتر کوچک/دفتر خانگی (SOHO) را به خطر می‌اندازد و از آنها به عنوان نقاط راه‌اندازی برای حملات بعدی که با ترافیک شبکه قانونی ترکیب می‌شوند، استفاده می‌کند. این تاکتیک توسط سایر بازیگران تحت حمایت دولت چین در سراسر جهان مشترک است و یک تهدید جهانی است.

در یک حادثه قابل توجه، APT40 بین ژوئیه و سپتامبر 2022 به شبکه یک سازمان استرالیایی دسترسی داشت. آنها بردارهای دسترسی چندگانه را ایجاد کردند، مقادیر زیادی از داده را استخراج کردند و به صورت جانبی در داخل شبکه حرکت کردند. در موردی دیگر، این گروه با سوء استفاده از یک نقص اجرای کد از راه دور (RCE) که به طور عمومی فاش شده بود، پورتال ورود از راه دور یک سازمان را به خطر انداخت تا چندین صد جفت نام کاربری و رمز عبور منحصر به فرد را استخراج کند.

برای کاهش خطر چنین حملاتی، به سازمان‌ها توصیه می‌شود که قابلیت‌های گزارش‌گیری جامع را پیاده‌سازی کنند، همه دستگاه‌های قابل دسترسی به اینترنت را سریعاً وصله کنند، بخش‌بندی شبکه را پیاده‌سازی کنند، سرویس‌ها، پورت‌ها و پروتکل‌های بلااستفاده را غیرفعال کنند، احراز هویت چند عاملی را فعال کنند و تجهیزات قدیمی را جایگزین کنند. از تولیدکنندگان نرم افزار خواسته می شود تا برای افزایش امنیت محصولات خود، اصول Secure by Design را اتخاذ کنند.

مشاوره ائتلاف بر نیاز همه سازمان‌ها برای بازنگری این توصیه‌ها برای شناسایی، جلوگیری و اصلاح نفوذهای APT40 تاکید می‌کند. با اتخاذ این اقدامات، سازمان ها می توانند دفاع خود را در برابر تکنیک های پیچیده به کار گرفته شده توسط APT40 و سایر بازیگران تهدید تحت حمایت دولت تقویت کنند.