Kiinan APT41 rikkoi Yhdysvaltain hallituksen verkkoja USAHerds-sovelluksen kautta

Mandiant Securityn turvallisuustutkijat julkaisivat äskettäin raportin, jossa kerrotaan yksityiskohtaisesti heidän havainnoistaan APT41 :n viimeaikaisesta toiminnasta – tietoverkkorikollisjärjestöstä, jolla uskotaan olevan Kiinan valtion tuki. Mandiantin mukaan APT41 onnistui käyttämään Log4j-hyökkäysten ja nollapäivän haavoittuvuuksien yhdistelmää vaarantaakseen useita Yhdysvaltain hallituksen verkkoja.

Zero-days ja Log4j käytetään yhdessä

Kyseiset nollapäivän haavoittuvuudet löytyvät USAHerds-nimisestä sovelluksesta. Se on työkalu, jota karjankasvattajat käyttävät kaikkialla Yhdysvalloissa "eläinterveystietojen hallintajärjestelmänä". Sovellus on ollut käytössä jo muutaman vuoden. Kuitenkin vasta äskettäin APT41 onnistui väärinkäyttämään sen tietoturva-aukkoja.

APT41:n uskotaan olevan valtion tukema kiinalainen asu, joka perinteisesti harjoittaa kybervakoilua . Tässä viimeisimmässä hyökkäyksessä tutkijat havaitsivat uusia työkaluja, uusia menetelmiä havaitsemisen välttämiseksi ja uusia uhkatoimijan käyttämiä tekniikoita.

Yhdysvaltain verkkoihin pääsyyn käytetty haavoittuvuus on jäljitetty nimellä CVE-2021-44207. Hyökkäys käytti kaksitahoista lähestymistapaa ja hyödynsi myös surullisen Log4j-haavoittuvuutta . USAHerdsin haavoittuvuus korjattiin marraskuussa 2021, ja se perustui sovelluksen kovakoodattujen, staattisten vahvistus- ja salausavaimien käyttöön, mikä mahdollisti lopulta koodin etäsuorittamisen järjestelmässä.

Sovellus jakoi nämä staattiset avaimet kaikille asennetuille instansseille sen sijaan, että se loisi yksilöllisiä avaimia jokaisessa asennuksessa, mikä on tutkijoiden mukaan merkittävä tietoturvaongelma.

APT41:n käyttämä vähintään kuusi verkkoa

Ei ole mitään keinoa tietää, kuinka APT41 onnistui saamaan haltuunsa jaetut avainarvot, mutta kun heillä oli pääsy niihin, he pääsivät "mihin tahansa palvelimeen", jossa oli USAHerds-sovellus. Vaikka kuuden Yhdysvaltain hallituksen verkon tiedetään vaarantuneen hyökkäyksessä, Mandiant odottaa, että siellä on enemmän uhreja, joita ei yksinkertaisesti ole tallennettu.

APT41 on kohdistanut yhdysvaltalaisiin yhteisöihin jo pitkään, ja samaan asuun liittyvät hyökkäykset ovat peräisin vuodesta 2019. Ryhmä tunnetaan terävyydestään ja ketterästä väistämisessä sekä edistyneistä tekniikoista soluttautuessaan kohteisiinsa.