Gruppo cinese di hacker APT40 accusato dalla Coalizione Globale di aver hackerato le reti governative

Una coalizione di nazioni, tra cui Stati Uniti, Regno Unito, Canada, Germania, Giappone, Nuova Zelanda e Corea del Sud, si è unita all’Australia nell’accusare il gruppo di hacker cinese APT40, sponsorizzato dallo stato, di essersi infiltrato nelle reti governative. Questo sviluppo fa seguito alle sanzioni del marzo 2024 contro i membri dell’APT31 , evidenziando la minaccia persistente rappresentata dagli attori cinesi della minaccia persistente avanzata (APT).

Conosciuto con vari nomi come Bronze Mohawk, Gingham Typhoon, Kryptonite Panda e Leviathan, APT40 ha ripetutamente preso di mira le reti australiane e quelle della regione più ampia. Il parere della coalizione afferma: "APT40 ha ripetutamente preso di mira le reti australiane, nonché le reti del settore governativo e privato nella regione, e la minaccia che rappresentano per le nostre reti è in corso".

APT40 conduce regolari operazioni di ricognizione, sfruttando dispositivi vecchi e vulnerabili. Sono abili nell'adottare rapidamente exploit per nuove vulnerabilità, compresi quelli in software ampiamente utilizzati come Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) e Microsoft Exchange (CVE-2021-31207, CVE-2021 -34523, CVE-2021-34473) . L'avviso avverte che si prevede che APT40 continuerà a utilizzare exploit proof-of-concept (PoC) per nuove vulnerabilità di alto profilo subito dopo il loro rilascio pubblico.

A differenza di molti altri autori di minacce, APT40 preferisce sfruttare l’infrastruttura vulnerabile collegata a Internet per l’accesso iniziale piuttosto che affidarsi al phishing o ad altre tecniche basate sull’interazione dell’utente. Estragiscono le credenziali per le operazioni successive e stabiliscono la persistenza nelle prime fasi della catena di attacco. È noto che il gruppo compromette i dispositivi SOHO (small office/home office) legacy, utilizzandoli come punti di lancio per attacchi successivi che si confondono con il traffico di rete legittimo. Questa tattica è condivisa da altri attori sponsorizzati dallo stato cinese in tutto il mondo, rappresentando una minaccia globale.

In un incidente degno di nota, APT40 ha mantenuto l’accesso alla rete di un’organizzazione australiana tra luglio e settembre 2022. Hanno stabilito più vettori di accesso, hanno esfiltrato grandi quantità di dati e si sono spostati lateralmente all’interno della rete. In un altro caso, il gruppo ha compromesso il portale di accesso remoto di un'organizzazione, sfruttando un difetto di esecuzione di codice remoto (RCE) divulgato pubblicamente per estrarre diverse centinaia di coppie di nome utente e password univoci.

Per mitigare il rischio di tali attacchi, si consiglia alle organizzazioni di implementare funzionalità di registrazione complete, applicare tempestivamente patch a tutti i dispositivi accessibili da Internet, implementare la segmentazione della rete, disabilitare servizi, porte e protocolli inutilizzati, abilitare l’autenticazione a più fattori e sostituire le apparecchiature legacy. I produttori di software sono invitati ad adottare i principi Secure by Design per migliorare la sicurezza dei loro prodotti.

L'avviso della coalizione sottolinea la necessità che tutte le organizzazioni rivedano queste raccomandazioni per identificare, prevenire e porre rimedio alle intrusioni APT40. Adottando queste misure, le organizzazioni possono rafforzare le proprie difese contro le sofisticate tecniche impiegate da APT40 e altri autori di minacce sponsorizzate dallo stato.