קבוצת הפריצה הסינית APT40 מואשמת על ידי הקואליציה העולמית בפריצה לרשתות ממשלתיות

קואליציה של מדינות, כולל ארה"ב, בריטניה, קנדה, גרמניה, יפן, ניו זילנד ודרום קוריאה, הצטרפה לאוסטרליה והאשימה את קבוצת הפריצה APT40 בחסות המדינה הסינית בהסתננות לרשתות ממשלתיות. התפתחות זו באה בעקבות הסנקציות של מרץ 2024 נגד חברי APT31 , תוך הדגשת האיום המתמשך הנשקף על ידי שחקנים סיניים מתקדמים לאיום מתמשך (APT).

הידוע בשמות שונים כמו ברונזה מוהוק, ג'ינגהם טייפון, קריפטוניט פנדה ולווייתן, APT40 מכוון שוב ושוב לרשתות אוסטרליות ולרשתות באזור הרחב יותר. בייעוץ של הקואליציה נכתב, "APT40 פקדה שוב ושוב את הרשתות האוסטרליות כמו גם לרשתות הממשלתיות והפרטיות באזור, והאיום שהם מהווים על הרשתות שלנו נמשך".

APT40 מבצעת פעולות סיור קבועות, תוך ניצול מכשירים ישנים ופגיעים. הם מיומנים באימוץ מהיר של ניצולים עבור פגיעויות חדשות, כולל אלו בתוכנות בשימוש נרחב כמו Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) ו- Microsoft Exchange (CVE-2021-31207, CVE-2021 -34523, CVE-2021-34473) . הייעוץ מזהיר כי APT40 צפוי להמשיך להשתמש בניצול הוכחת קונספט (PoC) עבור פגיעויות חדשות בפרופיל גבוה זמן קצר לאחר שחרורו לציבור.

שלא כמו גורמי איומים רבים אחרים, APT40 מעדיף לנצל תשתית פגיעה הפונה לאינטרנט לצורך גישה ראשונית במקום להסתמך על דיוג או טכניקות אחרות המבוססות על אינטראקציה של משתמשים. הם מוציאים אישורים לפעולות המשך ומבססים התמדה בשלב מוקדם בשרשרת התקיפה. ידוע כי הקבוצה מתפשרת על התקני משרד קטן/ביתי (SOHO) מדור קודם, תוך שימוש בהם כנקודות השקה עבור התקפות עוקבות המשתלבות עם תעבורת רשת לגיטימית. טקטיקה זו משותפת לשחקנים אחרים בחסות המדינה הסינית ברחבי העולם, ומהווה איום עולמי.

בתקרית בולטת אחת, APT40 שמרה על גישה לרשת של ארגון אוסטרלי בין יולי לספטמבר 2022. הם הקימו וקטורי גישה מרובים, חילצו כמויות גדולות של נתונים ועברו לרוחב בתוך הרשת. במקרה אחר, הקבוצה פגעה בפורטל התחברות לגישה מרחוק של ארגון, תוך ניצול פגם בביצוע קוד מרחוק (RCE) כדי לחלץ כמה מאות צמדי שמות משתמש וסיסמאות ייחודיים.

כדי להפחית את הסיכון להתקפות כאלה, מומלץ לארגונים ליישם יכולות רישום מקיפות, לתקן מיידית את כל המכשירים הנגישים לאינטרנט, ליישם פילוח רשת, להשבית שירותים, יציאות ופרוטוקולים שאינם בשימוש, לאפשר אימות רב-גורמי ולהחליף ציוד מדור קודם. יצרני תוכנה מתבקשים לאמץ עקרונות של Secure by Design כדי לשפר את האבטחה של המוצרים שלהם.

הייעוץ של הקואליציה מדגיש את הצורך של כל הארגונים לבדוק את ההמלצות הללו כדי לזהות, למנוע ולתקן פריצות APT40. על ידי אימוץ אמצעים אלה, ארגונים יכולים לחזק את ההגנה שלהם מפני הטכניקות המתוחכמות המופעלות על ידי APT40 וגורמי איומים אחרים בחסות המדינה.