ក្រុម Hacking APT40 របស់ចិនត្រូវបានស្តីបន្ទោសដោយសម្ព័ន្ធសកលសម្រាប់ការលួចស្តាប់បណ្តាញរដ្ឋាភិបាល

សម្ព័ន្ធនៃប្រជាជាតិនានា រួមទាំងសហរដ្ឋអាមេរិក ចក្រភពអង់គ្លេស កាណាដា អាល្លឺម៉ង់ ជប៉ុន នូវែលសេឡង់ និងកូរ៉េខាងត្បូង បានចូលរួមជាមួយអូស្ត្រាលីក្នុងការស្តីបន្ទោស ក្រុម Hacking ដែលឧបត្ថម្ភដោយរដ្ឋរបស់ចិន APT40 ចំពោះការជ្រៀតចូលបណ្តាញរបស់រដ្ឋាភិបាល។ ការអភិវឌ្ឍន៍នេះធ្វើឡើងបន្ទាប់ពីការដាក់ទណ្ឌកម្មនៅខែមីនា ឆ្នាំ 2024 ប្រឆាំងនឹង សមាជិក APT31 ដោយគូសបញ្ជាក់ពីការគំរាមកំហែងជាប់លាប់ដែលបង្កឡើងដោយតួអង្គគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT) របស់ចិន។

ស្គាល់ដោយឈ្មោះផ្សេងៗដូចជា Bronze Mohawk, Gingham Typhoon, Kryptonite Panda, និង Leviathan, APT40 បានកំណត់គោលដៅម្តងហើយម្តងទៀតលើបណ្តាញអូស្ត្រាលី និងអ្នកដែលនៅក្នុងតំបន់ធំទូលាយ។ ទីប្រឹក្សារបស់សម្ព័ន្ធបាននិយាយថា "APT40 បានកំណត់គោលដៅម្តងហើយម្តងទៀតលើបណ្តាញអូស្ត្រាលី ក៏ដូចជាបណ្តាញរបស់រដ្ឋាភិបាល និងវិស័យឯកជននៅក្នុងតំបន់ ហើយការគំរាមកំហែងដែលពួកគេបង្កចំពោះបណ្តាញរបស់យើងកំពុងបន្ត"។

APT40 ធ្វើប្រតិបត្តិការឈ្លបយកការណ៍ជាប្រចាំ ដោយទាញយកឧបករណ៍ចាស់ៗ និងងាយរងគ្រោះ។ ពួកគេមានភាពប៉ិនប្រសប់ក្នុងការទទួលយកការកេងប្រវ័ញ្ចយ៉ាងឆាប់រហ័សសម្រាប់ភាពងាយរងគ្រោះថ្មី រួមទាំងកម្មវិធីដែលប្រើយ៉ាងទូលំទូលាយដូចជា Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) និង Microsoft Exchange (CVE-2021-31207, CVE-2021) -34523, CVE-2021-34473) ។ ទីប្រឹក្សាព្រមានថា APT40 ត្រូវបានគេរំពឹងថានឹងបន្តប្រើប្រាស់ការកេងប្រវ័ញ្ចភស្តុតាងនៃគំនិត (PoC) សម្រាប់ភាពងាយរងគ្រោះដែលមានទម្រង់ខ្ពស់ថ្មីភ្លាមៗបន្ទាប់ពីការចេញផ្សាយជាសាធារណៈរបស់ពួកគេ។

មិនដូចតួអង្គគម្រាមកំហែងផ្សេងទៀតទេ APT40 ចូលចិត្តទាញយកហេដ្ឋារចនាសម្ព័ន្ធដែលងាយរងគ្រោះ និងប្រឈមមុខនឹងអ៊ីនធឺណិត សម្រាប់ការចូលប្រើដំបូង ជាជាងពឹងផ្អែកលើការបន្លំ ឬបច្ចេកទេសផ្អែកលើអន្តរកម្មអ្នកប្រើប្រាស់ផ្សេងទៀត។ ពួកគេ​ដក​ចេញ​ព័ត៌មាន​សម្ងាត់​សម្រាប់​ប្រតិបត្តិការ​តាមដាន និង​បង្កើត​ការ​តស៊ូ​នៅ​ដើម​សង្វាក់​វាយប្រហារ។ ក្រុមនេះត្រូវបានគេស្គាល់ថាសម្របសម្រួលឧបករណ៍ការិយាល័យតូច/ការិយាល័យនៅផ្ទះ (SOHO) ដែលមានកេរ្តិ៍ដំណែល ដោយប្រើពួកវាជាចំណុចចាប់ផ្តើមសម្រាប់ការវាយប្រហារជាបន្តបន្ទាប់ដែលលាយឡំជាមួយចរាចរណ៍បណ្តាញស្របច្បាប់។ យុទ្ធសាស្ត្រនេះត្រូវបានចែករំលែកដោយតួអង្គគាំទ្រដោយរដ្ឋរបស់ចិនផ្សេងទៀតនៅទូទាំងពិភពលោក ដែលបង្កការគំរាមកំហែងជាសកល។

នៅក្នុងឧប្បត្តិហេតុដ៏គួរឱ្យកត់សម្គាល់មួយ APT40 បានរក្សាការចូលប្រើបណ្តាញរបស់អង្គការអូស្ត្រាលីនៅចន្លោះខែកក្កដា និងខែកញ្ញា ឆ្នាំ 2022។ ពួកគេបានបង្កើតវ៉ិចទ័រចូលប្រើច្រើន ទាញយកទិន្នន័យយ៉ាងច្រើន និងផ្លាស់ទីនៅពេលក្រោយនៅក្នុងបណ្តាញ។ ក្នុងករណីមួយផ្សេងទៀត ក្រុមនេះបានសម្របសម្រួលវិបផតថលចូលប្រើប្រាស់ពីចម្ងាយរបស់ស្ថាប័ន ដោយទាញយកកំហុសនៃការប្រតិបត្តិលេខកូដពីចម្ងាយ (RCE) ដែលបានបង្ហាញជាសាធារណៈ ដើម្បីដកឈ្មោះអ្នកប្រើប្រាស់ និងលេខសម្ងាត់ដែលមានតែមួយរយគូ។

ដើម្បីកាត់បន្ថយហានិភ័យនៃការវាយប្រហារបែបនេះ អង្គការនានាត្រូវបានណែនាំឱ្យអនុវត្តសមត្ថភាពកត់ត្រាយ៉ាងទូលំទូលាយ ជួសជុលឧបករណ៍ដែលអាចចូលប្រើអ៊ីនធឺណិតបានភ្លាមៗ អនុវត្តការបែងចែកបណ្តាញ បិទសេវាកម្មដែលមិនប្រើ ច្រក និងពិធីការ បើកការផ្ទៀងផ្ទាត់ពហុកត្តា និងជំនួសឧបករណ៍ចាស់។ ក្រុមហ៊ុនផលិតសូហ្វវែរត្រូវបានជំរុញឱ្យទទួលយកគោលការណ៍សុវត្ថិភាពដោយការរចនា ដើម្បីបង្កើនសុវត្ថិភាពនៃផលិតផលរបស់ពួកគេ។

ទីប្រឹក្សារបស់សម្ព័ន្ធសង្កត់ធ្ងន់លើតម្រូវការសម្រាប់អង្គការទាំងអស់ដើម្បីពិនិត្យឡើងវិញនូវអនុសាសន៍ទាំងនេះដើម្បីកំណត់ ទប់ស្កាត់ និងដោះស្រាយការឈ្លានពានរបស់ APT40 ។ តាមរយៈការអនុម័តវិធានការទាំងនេះ អង្គការអាចពង្រឹងការការពាររបស់ពួកគេប្រឆាំងនឹងបច្ចេកទេសទំនើបដែលប្រើប្រាស់ដោយ APT40 និងតួអង្គគំរាមកំហែងដែលឧបត្ថម្ភដោយរដ្ឋផ្សេងទៀត។