A kínai APT40 hackercsoportot a Globális Koalíció vádolja a kormányzati hálózatok feltöréséért

Nemzetek koalíciója, köztük az Egyesült Államok, az Egyesült Királyság, Kanada, Németország, Japán, Új-Zéland és Dél-Korea, csatlakozott Ausztráliához, és a kínai államilag szponzorált APT40 hackercsoportot okolja a kormányzati hálózatokba való beszivárgásért. Ez a fejlemény az APT31 tagjai elleni 2024. márciusi szankciókat követi, kiemelve a kínai fejlett tartós fenyegetés (APT) szereplői által jelentett tartós fenyegetést.

A különféle néven ismert, például Bronze Mohawk, Gingham Typhoon, Kryptonite Panda és Leviathan APT40 többször is megcélozta az ausztrál és a tágabb régióban lévő hálózatokat. A koalíció tanácsadója kijelenti: "Az APT40 többször is célba vette az ausztrál hálózatokat, valamint a kormányzati és magánszektorbeli hálózatokat a régióban, és a hálózatainkra jelentett veszély továbbra is fennáll."

Az APT40 rendszeres felderítési műveleteket végez, kihasználva a régi és sebezhető eszközöket. Ügyesek az új sebezhetőségek gyors kihasználásában, beleértve a széles körben használt szoftverek, például az Atlassian Confluence (CVE-2021-26084), a Log4J (CVE-2021-44228) és a Microsoft Exchange (CVE-2021-31207, CVE-2021) kihasználását. -34523, CVE-2021-34473) . A figyelmeztetés arra figyelmeztet, hogy az APT40 várhatóan folytatni fogja a proof-of-concept (PoC) kizsákmányolást az új, nagy horderejű sebezhetőségek kiküszöbölésére, röviddel azok nyilvános megjelenése után.

Ellentétben sok más fenyegető szereplővel, az APT40 inkább a sebezhető, internet felé néző infrastruktúrát használja ki a kezdeti hozzáféréshez, ahelyett, hogy adathalászatra vagy más felhasználói interakción alapuló technikákra hagyatkozna. Kiszűrik a hitelesítő adatokat a nyomon követési műveletekhez, és kitartást biztosítanak a támadási lánc korai szakaszában. A csoportról köztudott, hogy kompromittálja a régi kis irodai/otthoni irodai (SOHO) eszközöket, és ezeket indítópontként használja a későbbi támadásokhoz, amelyek beleolvadnak a legitim hálózati forgalomba. Ezt a taktikát más kínai államilag támogatott szereplők is osztják világszerte, ami globális fenyegetést jelent.

Egy figyelemre méltó incidensben az APT40 hozzáférést biztosított egy ausztrál szervezet hálózatához 2022 júliusa és szeptembere között. Több hozzáférési vektort hoztak létre, nagy mennyiségű adatot szivárogtattak ki, és oldalirányban mozogtak a hálózaton belül. Egy másik esetben a csoport feltörte egy szervezet távoli hozzáférésű bejelentkezési portálját, kihasználva egy nyilvánosan közzétett távoli kódvégrehajtás (RCE) hibáját, hogy több száz egyedi felhasználónév-jelszó párból kiszivárogjon.

Az ilyen támadások kockázatának mérséklése érdekében a szervezeteknek átfogó naplózási képességeket kell bevezetniük, haladéktalanul javítsanak ki minden interneten elérhető készüléket, hajtsák végre a hálózati szegmentálást, tiltsák le a nem használt szolgáltatásokat, portokat és protokollokat, engedélyezzék a többtényezős hitelesítést, és cseréljék ki a régi berendezéseket. A szoftvergyártókat arra kérik, hogy alkalmazzák a Secure by Design elveket termékeik biztonságának fokozása érdekében.

A koalíció tanácsadója hangsúlyozza, hogy minden szervezetnek át kell tekintenie ezeket az ajánlásokat az APT40 behatolások azonosítása, megelőzése és orvoslása érdekében. Ezen intézkedések elfogadásával a szervezetek megerősíthetik védelmüket az APT40 és más, államilag támogatott fenyegetési szereplők által alkalmazott kifinomult technikákkal szemben.