Global Coalition syyttää kiinalaista APT40-hakkerointiryhmää hallitusverkkojen hakkeroinnista

Kansakuntien koalitio, mukaan lukien Yhdysvallat, Iso-Britannia, Kanada, Saksa, Japani, Uusi-Seelanti ja Etelä-Korea, on liittynyt Australiaan syyttämään Kiinan valtion tukemaa hakkerointiryhmää APT40 soluttautumisesta hallitusverkkoihin. Tämä kehitys seuraa maaliskuussa 2024 APT31:n jäseniä vastaan asetettuja pakotteita ja korostaa Kiinan kehittyneiden jatkuvan uhkan (APT) toimijoiden jatkuvaa uhkaa.

APT40, joka tunnetaan useilla nimillä, kuten Bronze Mohawk, Gingham Typhoon, Kryptonite Panda ja Leviathan, on toistuvasti kohdistanut Australian verkkoihin ja laajemmalla alueella. Koalition neuvonnassa todetaan: "APT40 on toistuvasti kohdistanut kohteen Australian verkkoihin sekä valtion ja yksityisen sektorin verkkoihin alueella, ja niiden verkostoillemme aiheuttama uhka on jatkuva."

APT40 suorittaa säännöllisiä tiedusteluoperaatioita hyödyntäen vanhoja ja haavoittuvia laitteita. He ovat taitavia ottamaan nopeasti käyttöön uusia haavoittuvuuksia, mukaan lukien laajalti käytettyjen ohjelmistojen, kuten Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) ja Microsoft Exchange (CVE-2021-31207, CVE-2021), hyödyntämiset. -34523, CVE-2021-34473) . Ohje varoittaa, että APT40:n odotetaan jatkavan proof-of-concept (PoC) -hyökkäyksien käyttöä uusiin korkean profiilin haavoittuvuuksiin pian niiden julkistamisen jälkeen.

Toisin kuin monet muut uhkatekijät, APT40 käyttää ensisijaisesti haavoittuvaa, Internetiin päin olevaa infrastruktuuria ensikäyttöön sen sijaan, että luottaisi tietojenkalasteluun tai muihin käyttäjien vuorovaikutukseen perustuviin tekniikoihin. Ne suodattavat valtuustiedot seurantatoimia varten ja varmistavat pysyvyyden hyökkäysketjun varhaisessa vaiheessa. Ryhmän on tiedetty vaarantavan vanhoja pieni-/kotitoimistolaitteita (SOHO) käyttämällä niitä aloituspisteinä myöhemmille hyökkäyksille, jotka sulautuvat lailliseen verkkoliikenteeseen. Tätä taktiikkaa jakavat muut Kiinan valtion tukemat toimijat maailmanlaajuisesti, mikä muodostaa maailmanlaajuisen uhan.

Yhdessä merkittävässä tapahtumassa APT40 säilytti pääsyn australialaisen organisaation verkkoon heinä-syyskuussa 2022. He loivat useita pääsyvektoreita, suodattivat suuria määriä dataa ja siirtyivät sivusuunnassa verkon sisällä. Toisessa tapauksessa ryhmä vaaransi organisaation etäkäyttökirjautumisportaalin hyödyntämällä julkisesti ilmoitettua etäkoodin suorittamisen (RCE) virhettä suodattaakseen useita satoja yksilöllisiä käyttäjätunnus- ja salasanapareja.

Tällaisten hyökkäysten riskin vähentämiseksi organisaatioita kehotetaan ottamaan käyttöön kattavat lokiominaisuudet, korjaamaan nopeasti kaikki Internet-yhteydellä toimivat laitteet, toteuttamaan verkon segmentointi, poistamaan käytöstä käyttämättömät palvelut, portit ja protokollat, ottamaan käyttöön monitekijätodennusta ja korvaamaan vanhat laitteet. Ohjelmistojen valmistajia kehotetaan ottamaan käyttöön Secure by Design -periaatteet tuotteidensa turvallisuuden parantamiseksi.

Koalition neuvonta korostaa, että kaikkien organisaatioiden on tarkistettava nämä suositukset APT40-tunkeutumisen tunnistamiseksi, estämiseksi ja korjaamiseksi. Ottamalla nämä toimenpiteet käyttöön organisaatiot voivat vahvistaa puolustustaan APT40:n ja muiden valtion tukemien uhkatoimijoiden käyttämiä kehittyneitä tekniikoita vastaan.