Ķīnas APT40 hakeru grupa, kuru globālā koalīcija vaino valdības tīklu uzlaušanā

Valstu koalīcija, tostarp ASV, Apvienotā Karaliste, Kanāda, Vācija, Japāna, Jaunzēlande un Dienvidkoreja, ir pievienojusies Austrālijai, vainojot Ķīnas valsts sponsorēto hakeru grupu APT40 par iefiltrēšanos valdības tīklos. Šī attīstība seko 2024. gada marta sankcijām pret APT31 dalībniekiem , uzsverot pastāvīgos draudus, ko rada Ķīnas progresīvo pastāvīgo draudu (APT) dalībnieki.

APT40, kas pazīstams ar dažādiem nosaukumiem, piemēram, Bronze Mohawk, Gingham Typhoon, Kryptonite Panda un Leviathan, ir vairākkārt mērķēts uz Austrālijas un plašākā reģiona tīkliem. Koalīcijas padomdevēja teikts: "APT40 ir vairākkārt mērķējis uz Austrālijas tīkliem, kā arī valdības un privātā sektora tīkliem reģionā, un draudi, ko tie rada mūsu tīkliem, turpinās."

APT40 veic regulāras izlūkošanas operācijas, izmantojot vecas un neaizsargātas ierīces. Viņi spēj ātri pieņemt jaunus ievainojamības, tostarp tādas plaši izmantotas programmatūras kā Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) un Microsoft Exchange (CVE-2021-31207, CVE-2021). -34523, CVE-2021-34473) . Padoms brīdina, ka APT40 drīz pēc to publiskas izlaišanas turpinās izmantot proof-of-concept (PoC) ekspluatācijas iespējas jaunām augsta profila ievainojamībām.

Atšķirībā no daudziem citiem apdraudējumiem, APT40 dod priekšroku neaizsargātai, ar internetu vērstai infrastruktūrai sākotnējai piekļuvei, nevis paļaujas uz pikšķerēšanu vai citām uz lietotāju mijiedarbību balstītām metodēm. Viņi izfiltrē akreditācijas datus turpmākajām darbībām un nodrošina noturību uzbrukuma ķēdes sākumā. Ir zināms, ka grupa apdraud mantotās mazā biroja/mājas biroja (SOHO) ierīces, izmantojot tās kā palaišanas punktus turpmākiem uzbrukumiem, kas saplūst ar likumīgu tīkla trafiku. Šo taktiku izmanto arī citi Ķīnas valsts atbalstītie dalībnieki visā pasaulē, radot globālus draudus.

Vienā ievērojamā incidentā APT40 saglabāja piekļuvi Austrālijas organizācijas tīklam no 2022. gada jūlija līdz septembrim. Viņi izveidoja vairākus piekļuves vektorus, izfiltrēja lielus datu apjomus un pārcēlās uz sāniem tīklā. Citā gadījumā grupa kompromitēja organizācijas attālās piekļuves pieteikšanās portālu, izmantojot publiski atklātu attālās koda izpildes (RCE) trūkumu, lai izfiltrētu vairākus simtus unikālu lietotājvārdu un paroļu pāru.

Lai mazinātu šādu uzbrukumu risku, organizācijām ieteicams ieviest visaptverošas reģistrēšanas iespējas, nekavējoties izlabot visas internetam pieejamās ierīces, ieviest tīkla segmentāciju, atspējot neizmantotos pakalpojumus, portus un protokolus, iespējot daudzfaktoru autentifikāciju un nomainīt mantoto aprīkojumu. Programmatūras ražotāji tiek mudināti pieņemt Secure by Design principus, lai uzlabotu savu produktu drošību.

Koalīcijas ieteikumā uzsvērts, ka visām organizācijām ir jāpārskata šie ieteikumi, lai identificētu, novērstu un novērstu APT40 ielaušanos. Pieņemot šos pasākumus, organizācijas var stiprināt savu aizsardzību pret sarežģītajām metodēm, ko izmanto APT40 un citi valsts sponsorēti apdraudējuma dalībnieki.