APT41 הסינית פרצה את רשתות ממשלת ארה"ב באמצעות אפליקציית USAHerds

חוקרי אבטחה עם אבטחת Mandiant פרסמו דו"ח עדכני המפרט את ממצאיהם על הפעילות האחרונה של APT41 - ארגון פשעי סייבר שמאמין שיש לו גיבוי של המדינה הסינית. לפי Mandiant, APT41 הצליח להשתמש בשילוב של התקפות Log4j ופגיעויות של יום אפס כדי לסכן מספר רשתות ממשלתיות בארה"ב.

Zero-days ו-Log4j בשימוש יחד

הפגיעויות המדוברות של יום אפס נמצאות באפליקציה בשם USAHerds. זהו כלי המשמש את חקלאי בעלי חיים ברחבי ארה"ב כ"מערכת לניהול מידע על בריאות בעלי חיים". האפליקציה קיימת כבר מספר שנים. עם זאת, רק לאחרונה הצליחה APT41 לנצל לרעה את פגמי האבטחה בה.

מאמינים כי APT41 הוא תלבושת סינית בחסות המדינה שעוסקת באופן מסורתי בריגול סייבר . במתקפה האחרונה זו הבחינו חוקרים בכלים חדשים, שיטות חדשות להתחמקות מגילוי וטכניקות חדשות שמפעיל האיום.

מעקב אחר הפגיעות המשמשת לגישה לרשתות בארה"ב הוא CVE-2021-44207. המתקפה השתמשה בגישה דו-כיוונית, תוך מינוף הפגיעות הידועה לשמצה של Log4j . הפגיעות ב-USAHerds תוקנה בנובמבר 2021 והסתמכה על השימוש של האפליקציה במפתחות קוד קשיח, אימות סטטי ומפתחות הצפנה, ובסופו של דבר אפשרו ביצוע קוד מרחוק במערכת.

האפליקציה שיתפה את המפתחות הסטטיים הללו בכל המופעים המותקנים, במקום ליצור מופעים ייחודיים בכל התקנה, שהיא בעיית אבטחה משמעותית, לדברי חוקרים.

לפחות שש רשתות שאליהן גישה APT41

אין דרך לדעת כיצד הצליח APT41 להשיג את ערכי המפתח המשותפים, אך ברגע שהייתה להם גישה אליהם, הם יכלו לקבל גישה ל"כל שרת" המריץ את אפליקציית USAHerds. למרות שידוע ששש רשתות ממשלתיות בארה"ב נפגעו בהתקפה, מנדיאנט מצפה שיש עוד קורבנות שם בחוץ שפשוט לא תועדו.

APT41 מכוונת לגופים מבוססי ארה"ב כבר זמן רב, עם התקפות הקשורות לאותה תלבושת עוד משנת 2019. הקבוצה ידועה בהיותה חדה וזריזה בכל הנוגע להתחמקות ושימוש בטכניקות מתקדמות בעת חדירת מטרותיה.