Kinijos APT41 pažeidė JAV vyriausybės tinklus per „USAHerds“ programą

Saugumo tyrinėtojai su „Mandiant security“ paskelbė neseniai paskelbtą ataskaitą, kurioje išsamiai aprašomi pastarojo meto APT41 – kibernetinių nusikaltimų grupės, kuri, kaip manoma, remiama Kinijos valstybės, veikla. Pasak Mandiant, APT41 sugebėjo panaudoti Log4j atakų ir nulinės dienos pažeidžiamumų derinį, kad pakenktų keliems JAV vyriausybės tinklams.

Nulis dienų ir Log4j naudojami kartu

Aptariami nulinės dienos pažeidžiamumai randami programoje, pavadintoje USAHerds. Tai įrankis, kurį JAV gyvulių augintojai naudoja kaip „gyvūnų sveikatos informacijos valdymo sistemą“. Paraiška egzistuoja jau keletą metų. Tačiau tik neseniai APT41 sugebėjo piktnaudžiauti savo saugumo trūkumais.

Manoma, kad APT41 yra valstybės remiama Kinijos apranga, kuri tradiciškai užsiima kibernetiniu šnipinėjimu . Per šią naujausią ataką tyrėjai pastebėjo naujas priemones, naujus metodus, kaip išvengti aptikimo, ir naujus metodus, kuriuos naudoja grėsmės veikėjas.

Pažeidžiamumas, naudojamas norint pasiekti JAV tinklus, stebimas kaip CVE-2021-44207. Ataka naudojo dvipusį metodą, taip pat panaudojant liūdnai pagarsėjusį Log4j pažeidžiamumą . „USAHerds“ pažeidžiamumas buvo pataisytas 2021 m. lapkritį ir priklausė nuo to, kad programa naudoja sunkiai užkoduotus, statinius patvirtinimo ir šifravimo raktus, o tai galiausiai leido sistemoje nuotoliniu būdu vykdyti kodą.

Programa bendrino tuos statinius raktus visuose įdiegtuose egzemplioriuose, o ne generavo unikalius kiekviename įdiegime, o tai, pasak mokslininkų, yra svarbi saugumo problema.

Mažiausiai šeši tinklai, kuriuos pasiekia APT41

Nėra jokio būdo žinoti, kaip APT41 sugebėjo gauti bendrai naudojamas raktų reikšmes, bet kai jie turėjo prieigą prie jų, jie galėjo pasiekti „bet kurį serverį“, kuriame veikia USAHerds programa. Nors žinoma, kad per išpuolį buvo pažeisti šeši JAV vyriausybės tinklai, „Mandiant“ tikisi, kad ten yra daugiau aukų, kurios tiesiog nebuvo užfiksuotos.

APT41 jau ilgą laiką taikėsi į JAV įsikūrusius subjektus, o atakos, susijusios su ta pačia apranga, prasidėjo 2019 m. Grupė žinoma kaip aštri ir veržli, kai kalbama apie vengimą ir naudojant pažangias technikas, kai įsiskverbia į savo taikinius.