Globalna koalicija optužila kinesku hakersku skupinu APT40 za hakiranje vladinih mreža

Koalicija država, uključujući SAD, Ujedinjeno Kraljevstvo, Kanadu, Njemačku, Japan, Novi Zeland i Južnu Koreju, pridružila se Australiji u optuživanju kineske državno sponzorirane hakerske skupine APT40 za infiltraciju u vladine mreže. Ovaj razvoj događaja uslijedio je nakon sankcija protiv članova APT31 iz ožujka 2024., naglašavajući stalnu prijetnju koju predstavljaju kineski akteri napredne trajne prijetnje (APT).

Poznat pod raznim imenima kao što su Bronze Mohawk, Gingham Typhoon, Kryptonite Panda i Leviathan, APT40 više puta cilja na australske mreže i one u široj regiji. U savjetu koalicije stoji: "APT40 je više puta ciljao na australske mreže, kao i mreže vladinog i privatnog sektora u regiji, a prijetnja koju oni predstavljaju našim mrežama je i dalje prisutna."

APT40 provodi redovite operacije izviđanja, iskorištavajući stare i ranjive uređaje. Oni su vješti u brzom usvajanju eksploatacija za nove ranjivosti, uključujući one u široko korištenom softveru kao što je Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) i Microsoft Exchange (CVE-2021-31207, CVE-2021 -34523, CVE-2021-34473) . Upozorenje upozorava da se očekuje da će APT40 nastaviti koristiti proof-of-concept (PoC) eksploatacije za nove visokoprofilne ranjivosti ubrzo nakon njihovog javnog objavljivanja.

Za razliku od mnogih drugih aktera prijetnji, APT40 radije iskorištava ranjivu infrastrukturu usmjerenu na internet za početni pristup umjesto da se oslanja na krađu identiteta ili druge tehnike temeljene na interakciji korisnika. Oni eksfiltriraju vjerodajnice za daljnje operacije i uspostavljaju postojanost rano u lancu napada. Poznato je da grupa ugrožava naslijeđene uređaje za male urede/kuće (SOHO), koristeći ih kao početne točke za naknadne napade koji se stapaju s legitimnim mrežnim prometom. Ovu taktiku dijele i drugi akteri koje sponzorira kineska država diljem svijeta, što predstavlja globalnu prijetnju.

U jednom značajnom incidentu, APT40 je održavao pristup mreži australske organizacije između srpnja i rujna 2022. Uspostavili su višestruke pristupne vektore, eksfiltrirali velike količine podataka i kretali se bočno unutar mreže. U drugom slučaju, grupa je kompromitirala portal za prijavu na udaljeni pristup organizacije, iskorištavajući javno objavljenu grešku u izvršavanju daljinskog koda (RCE) kako bi izvukla nekoliko stotina jedinstvenih parova korisničkog imena i lozinke.

Kako bi se smanjio rizik od takvih napada, organizacijama se savjetuje da implementiraju sveobuhvatne mogućnosti bilježenja, odmah zakrpe sve uređaje dostupne putem interneta, implementiraju mrežnu segmentaciju, onemoguće nekorištene usluge, priključke i protokole, omoguće višestruku autentifikaciju i zamijene naslijeđenu opremu. Proizvođače softvera potiče se da usvoje načela Secure by Design kako bi poboljšali sigurnost svojih proizvoda.

Savjetovanje koalicije naglašava potrebu da sve organizacije pregledaju ove preporuke kako bi identificirale, spriječile i otklonile APT40 upade. Usvajanjem ovih mjera, organizacije mogu ojačati svoju obranu od sofisticiranih tehnika koje koristi APT40 i drugi akteri prijetnji koje sponzorira država.