A kínai APT41 megsértette az Egyesült Államok kormányzati hálózatait az USAHerds alkalmazáson keresztül

A Mandiant Security biztonsági kutatói nemrégiben tettek közzé egy jelentést, amely részletezi az APT41 – egy számítógépes bûnözés elleni szervezet – a feltételezések szerint kínai állami támogatással – közelmúltbeli tevékenységét. A Mandiant szerint az APT41-nek sikerült a Log4j támadások és a nulladik napi sebezhetőség kombinációját felhasználnia több amerikai kormányzati hálózat feltörésére.

Zero-days és Log4j együtt használva

A szóban forgó nulladik napi biztonsági rések az USAHerds nevű alkalmazásban találhatók. Ez egy olyan eszköz, amelyet az állattenyésztők az Egyesült Államokban „állat-egészségügyi információs rendszerként” használnak. Az alkalmazás már több éve létezik. Az APT41-nek azonban csak nemrégiben sikerült visszaélnie a biztonsági hibáival.

Úgy gondolják, hogy az APT41 egy államilag támogatott kínai székhelyű egység, amely hagyományosan kiberkémkedéssel foglalkozik . Ebben a legutóbbi támadásban a kutatók új eszközöket, új módszereket fedeztek fel az észlelés elkerülésére, valamint a fenyegetőző által alkalmazott új technikákat.

Az egyesült államokbeli hálózatokhoz való hozzáféréshez használt sebezhetőséget a CVE-2021-44207 jelű nyomon követik. A támadás kétirányú megközelítést alkalmazott, a hírhedt Log4j sebezhetőséget is kihasználva. Az USAHerds biztonsági rését 2021 novemberében javították ki, és az alkalmazás kemény kódolt, statikus érvényesítési és titkosítási kulcsok használatán alapult, ami végül lehetővé tette a távoli kódfuttatást a rendszeren.

Az alkalmazás megosztotta ezeket a statikus kulcsokat az összes telepített példányban, ahelyett, hogy minden telepítésnél egyedi kulcsokat generált volna, ami a kutatók szerint jelentős biztonsági probléma.

Az APT41 által elért legalább hat hálózat

Nem lehet tudni, hogy az APT41 hogyan tudta megszerezni a megosztott kulcsértékeket, de miután hozzáfértek ezekhez, hozzáférhettek "bármelyik szerverhez", amelyen az USAHerds alkalmazás fut. Annak ellenére, hogy ismert, hogy hat amerikai kormányzati hálózat veszélybe került a támadásban, a Mandiant arra számít, hogy több olyan áldozat is van, akiket egyszerűen nem rögzítettek.

Az APT41 már régóta célpontja az egyesült államokbeli székhelyű entitások, és 2019-ig nyúlnak vissza a támadások ugyanazon ruházathoz. A csoportról ismert, hogy éles és fürge a kijátszás terén, és fejlett technikákat alkalmaz a célpontjaiba való beszivárgás során.