L'APT41 cinese ha violato le reti del governo degli Stati Uniti tramite l'app USAHerds
I ricercatori di sicurezza con Mandiant Security hanno pubblicato un recente rapporto che descrive in dettaglio le loro scoperte sulla recente attività di APT41, un gruppo di criminalità informatica che si ritiene abbia il sostegno dello stato cinese. Secondo Mandiant, APT41 è riuscito a utilizzare una combinazione di attacchi Log4j e vulnerabilità zero-day per compromettere diverse reti governative statunitensi.
Zero-days e Log4j usati insieme
Le vulnerabilità zero-day in questione si trovano in un'applicazione chiamata USAHerds. È uno strumento utilizzato dagli allevatori negli Stati Uniti come "sistema di gestione delle informazioni sulla salute degli animali". L'applicazione è in circolazione da diversi anni ormai. Tuttavia, è stato solo di recente che APT41 è riuscito ad abusare dei difetti di sicurezza in esso contenuti.
Si ritiene che APT41 sia un'organizzazione con sede in Cina sponsorizzata dallo stato che tradizionalmente si dedica allo spionaggio informatico. In questo ultimo attacco i ricercatori hanno individuato nuovi strumenti, nuovi metodi per eludere il rilevamento e nuove tecniche impiegate dall'attore della minaccia.
La vulnerabilità utilizzata per accedere alle reti statunitensi è tracciata come CVE-2021-44207. L'attacco ha utilizzato un duplice approccio, sfruttando anche la famigerata vulnerabilità di Log4j. La vulnerabilità in USAHerds è stata corretta nel novembre del 2021 e si basava sull'utilizzo da parte dell'applicazione di chiavi di crittografia e convalida statiche codificate, consentendo alla fine l'esecuzione di codice in modalità remota sul sistema.
L'applicazione ha condiviso quelle chiavi statiche su tutte le istanze installate, invece di generarne di univoche su ogni installazione, il che è un problema di sicurezza significativo, secondo i ricercatori.
Almeno sei reti accessibili da APT41
Non c'è modo di sapere come APT41 sia riuscito a ottenere i valori chiave condivisi, ma una volta che hanno avuto accesso a quelli, potrebbero accedere a "qualsiasi server" che esegue l'applicazione USAHerds. Anche se è noto che sei reti governative statunitensi sono state compromesse nell'attacco, Mandiant si aspetta che ci siano più vittime là fuori che semplicemente non sono state registrate.
APT41 ha preso di mira entità con sede negli Stati Uniti da molto tempo ormai, con attacchi associati allo stesso gruppo risalenti al 2019. Il gruppo è noto per essere acuto e agile quando si tratta di evasione e utilizzare tecniche avanzate quando si infiltra nei suoi obiettivi.