Kinijos APT40 įsilaužimo grupė, kurią pasaulinė koalicija apkaltino įsilaužimu į vyriausybės tinklus

Tautų koalicija, įskaitant JAV, JK, Kanadą, Vokietiją, Japoniją, Naująją Zelandiją ir Pietų Korėją, prisijungė prie Australijos, kaltindama Kinijos valstybės remiamą programišių grupę APT40 dėl įsiskverbimo į vyriausybės tinklus. Tai įvyko po 2024 m. kovo mėn. sankcijų APT31 nariams , pabrėžiant nuolatinę Kinijos pažangių nuolatinės grėsmės (APT) veikėjų keliamą grėsmę.

Žinomas įvairiais pavadinimais, tokiais kaip Bronze Mohawk, Gingham Typhoon, Kryptonite Panda ir Leviathan, APT40 ne kartą buvo taikomas Australijos tinklams ir platesniame regione. Koalicijos patarime teigiama: „APT40 ne kartą taikėsi į Australijos tinklus, taip pat į vyriausybės ir privataus sektoriaus tinklus regione, o grėsmė, kurią jie kelia mūsų tinklams, tebesitęsia“.

APT40 atlieka reguliarias žvalgybos operacijas, išnaudodamas senus ir pažeidžiamus įrenginius. Jie yra įgudę greitai pritaikyti naujų pažeidžiamumų, įskaitant plačiai naudojamos programinės įrangos, pvz., Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) ir Microsoft Exchange (CVE-2021-31207, CVE-2021), išnaudojimus. -34523, CVE-2021-34473) . Patariamame pranešime įspėjama, kad netrukus po jų viešo išleidimo APT40 ir toliau naudos koncepcijos įrodymo (PoC) išnaudojimus naujiems didelio profilio pažeidžiamumams.

Skirtingai nuo daugelio kitų grėsmių subjektų, APT40 pirmenybę teikia pažeidžiamai, į internetą nukreiptai infrastruktūrai, o ne pasikliauja sukčiavimu ar kitais naudotojo sąveika pagrįstais metodais. Jie išfiltruoja kredencialus tolesniems veiksmams ir sukuria atkaklumą ankstyvoje atakos grandinėje. Buvo žinoma, kad grupė pažeidžia senus mažo biuro / namų biuro (SOHO) įrenginius, naudodama juos kaip paleidimo taškus vėlesnėms atakoms, kurios susilieja su teisėtu tinklo srautu. Šią taktiką laikosi ir kiti Kinijos valstybės remiami veikėjai visame pasaulyje, o tai kelia pasaulinę grėsmę.

Vieno reikšmingo incidento metu APT40 išlaikė prieigą prie Australijos organizacijos tinklo nuo 2022 m. liepos mėn. iki rugsėjo mėn. Jie sukūrė kelių prieigos vektorius, išfiltravo didelius duomenų kiekius ir perėjo į šoną tinkle. Kitu atveju grupė pažeidė organizacijos nuotolinės prieigos prisijungimo portalą, pasinaudodama viešai atskleista nuotolinio kodo vykdymo (RCE) klaida, kad išfiltruotų kelis šimtus unikalių vartotojo vardo ir slaptažodžių porų.

Siekiant sumažinti tokių atakų riziką, organizacijoms patariama įdiegti visapusiškas registravimo galimybes, nedelsiant pataisyti visus internetu pasiekiamus įrenginius, įdiegti tinklo segmentavimą, išjungti nenaudojamas paslaugas, prievadus ir protokolus, įjungti kelių veiksnių autentifikavimą ir pakeisti seną įrangą. Programinės įrangos gamintojai raginami taikyti „Secure by Design“ principus, kad padidintų savo produktų saugumą.

Koalicijos patarime pabrėžiama, kad visoms organizacijoms reikia peržiūrėti šias rekomendacijas, siekiant nustatyti, užkirsti kelią ir pašalinti APT40 įsibrovimus. Taikydamos šias priemones, organizacijos gali sustiprinti savo apsaugą nuo sudėtingų metodų, kuriuos naudoja APT40 ir kiti valstybės remiami grėsmės veikėjai.