ग्लोबल कोएलिशन ने चीनी APT40 हैकिंग समूह को सरकारी नेटवर्क हैक करने का दोषी ठहराया

अमेरिका, ब्रिटेन, कनाडा, जर्मनी, जापान, न्यूजीलैंड और दक्षिण कोरिया समेत कई देशों के गठबंधन ने ऑस्ट्रेलिया के साथ मिलकर चीनी सरकार द्वारा प्रायोजित हैकिंग समूह APT40 पर सरकारी नेटवर्क में घुसपैठ करने का आरोप लगाया है। यह घटनाक्रम APT31 सदस्यों के खिलाफ मार्च 2024 के प्रतिबंधों के बाद हुआ है, जो चीनी एडवांस्ड पर्सिस्टेंट थ्रेट (APT) अभिनेताओं द्वारा उत्पन्न लगातार खतरे को उजागर करता है।

ब्रॉन्ज मोहॉक, गिंगहम टाइफून, क्रिप्टोनाइट पांडा और लेविथान जैसे विभिन्न नामों से जाना जाने वाला APT40 बार-बार ऑस्ट्रेलियाई नेटवर्क और व्यापक क्षेत्र में मौजूद नेटवर्क को निशाना बना रहा है। गठबंधन की सलाह में कहा गया है, "APT40 ने बार-बार ऑस्ट्रेलियाई नेटवर्क के साथ-साथ क्षेत्र में सरकारी और निजी क्षेत्र के नेटवर्क को भी निशाना बनाया है, और हमारे नेटवर्क के लिए उनका खतरा जारी है।"

APT40 नियमित रूप से टोही अभियान चलाता है, पुराने और कमज़ोर उपकरणों का शोषण करता है। वे नई कमज़ोरियों के लिए जल्दी से शोषण करने में माहिर हैं, जिनमें एटलसियन कॉन्फ्लुएंस (CVE-2021-26084), लॉग4जे (CVE-2021-44228) और माइक्रोसॉफ्ट एक्सचेंज (CVE-2021-31207, CVE-2021-34523, CVE-2021-34473) जैसे व्यापक रूप से उपयोग किए जाने वाले सॉफ़्टवेयर शामिल हैं। सलाह में चेतावनी दी गई है कि APT40 से उम्मीद की जाती है कि वह सार्वजनिक रिलीज़ के तुरंत बाद नई हाई-प्रोफाइल कमज़ोरियों के लिए प्रूफ़-ऑफ़-कॉन्सेप्ट (PoC) शोषण का उपयोग करना जारी रखेगा।

कई अन्य ख़तरनाक तत्वों से अलग, APT40 फ़िशिंग या अन्य उपयोगकर्ता इंटरैक्शन-आधारित तकनीकों पर निर्भर रहने के बजाय शुरुआती पहुँच के लिए कमज़ोर, इंटरनेट-फ़ेसिंग इंफ्रास्ट्रक्चर का फ़ायदा उठाना पसंद करता है। वे अनुवर्ती कार्रवाई के लिए क्रेडेंशियल्स को बाहर निकालते हैं और हमले की श्रृंखला में शुरुआती दौर में ही दृढ़ता स्थापित करते हैं। यह समूह विरासत में मिले छोटे-कार्यालय/घर-कार्यालय (SOHO) उपकरणों से समझौता करने के लिए जाना जाता है, उन्हें बाद के हमलों के लिए लॉन्च पॉइंट के रूप में उपयोग करते हैं जो वैध नेटवर्क ट्रैफ़िक के साथ मिल जाते हैं। यह रणनीति दुनिया भर में अन्य चीनी राज्य-प्रायोजित अभिनेताओं द्वारा साझा की जाती है, जो वैश्विक ख़तरा पैदा करती है।

एक उल्लेखनीय घटना में, APT40 ने जुलाई और सितंबर 2022 के बीच एक ऑस्ट्रेलियाई संगठन के नेटवर्क तक पहुँच बनाए रखी। उन्होंने कई एक्सेस वेक्टर स्थापित किए, बड़ी मात्रा में डेटा निकाला और नेटवर्क के भीतर पार्श्विक रूप से आगे बढ़े। दूसरे मामले में, समूह ने एक संगठन के रिमोट एक्सेस लॉगिन पोर्टल से समझौता किया, जिसमें सार्वजनिक रूप से प्रकट किए गए रिमोट कोड निष्पादन (RCE) दोष का फायदा उठाकर कई सौ अद्वितीय उपयोगकर्ता नाम और पासवर्ड जोड़े निकाले गए।

ऐसे हमलों के जोखिम को कम करने के लिए, संगठनों को व्यापक लॉगिंग क्षमताओं को लागू करने, सभी इंटरनेट-सुलभ उपकरणों को तुरंत पैच करने, नेटवर्क विभाजन को लागू करने, अप्रयुक्त सेवाओं, पोर्ट और प्रोटोकॉल को अक्षम करने, बहु-कारक प्रमाणीकरण सक्षम करने और विरासत उपकरणों को बदलने की सलाह दी जाती है। सॉफ़्टवेयर निर्माताओं से अनुरोध किया जाता है कि वे अपने उत्पादों की सुरक्षा बढ़ाने के लिए सिक्योर बाय डिज़ाइन सिद्धांतों को अपनाएँ।

गठबंधन की सलाह में सभी संगठनों को APT40 घुसपैठ की पहचान करने, उसे रोकने और उसका समाधान करने के लिए इन सिफारिशों की समीक्षा करने की आवश्यकता पर जोर दिया गया है। इन उपायों को अपनाकर, संगठन APT40 और अन्य राज्य प्रायोजित खतरा पैदा करने वाले तत्वों द्वारा इस्तेमाल की जाने वाली परिष्कृत तकनीकों के खिलाफ अपनी सुरक्षा को मजबूत कर सकते हैं।