Kumpulan Penggodaman APT40 Cina Disalahkan oleh Gabungan Global kerana Menggodam Rangkaian Kerajaan

Gabungan negara, termasuk AS, UK, Kanada, Jerman, Jepun, New Zealand dan Korea Selatan, telah menyertai Australia dalam menyalahkan kumpulan penggodam tajaan kerajaan China APT40 kerana menyusup ke rangkaian kerajaan. Perkembangan ini susulan sekatan Mac 2024 terhadap ahli APT31 , menonjolkan ancaman berterusan yang ditimbulkan oleh pelakon ancaman berterusan lanjutan (APT) China.

Dikenali dengan pelbagai nama seperti Bronze Mohawk, Gingham Typhoon, Kryptonite Panda dan Leviathan, APT40 telah berulang kali menyasarkan rangkaian Australia dan rangkaian yang lebih luas. Penasihat gabungan itu menyatakan, "APT40 telah berulang kali menyasarkan rangkaian Australia serta rangkaian sektor kerajaan dan swasta di rantau ini, dan ancaman yang mereka timbulkan kepada rangkaian kami berterusan."

APT40 menjalankan operasi peninjauan biasa, mengeksploitasi peranti lama dan terdedah. Mereka mahir menggunakan eksploitasi dengan cepat untuk kelemahan baharu, termasuk perisian yang digunakan secara meluas seperti Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) dan Microsoft Exchange (CVE-2021-31207, CVE-2021 -34523, CVE-2021-34473) . Nasihat itu memberi amaran bahawa APT40 dijangka akan terus menggunakan eksploitasi bukti konsep (PoC) untuk kelemahan berprofil tinggi baharu sejurus selepas dikeluarkan secara terbuka.

Tidak seperti kebanyakan pelaku ancaman lain, APT40 lebih suka mengeksploitasi infrastruktur yang terdedah kepada internet untuk akses awal daripada bergantung pada pancingan data atau teknik berasaskan interaksi pengguna yang lain. Mereka mengeluarkan bukti kelayakan untuk operasi susulan dan mewujudkan kegigihan awal dalam rantaian serangan. Kumpulan itu telah diketahui menjejaskan peranti pejabat kecil/pejabat rumah (SOHO) warisan, menggunakan peranti itu sebagai titik pelancaran untuk serangan berikutnya yang digabungkan dengan trafik rangkaian yang sah. Taktik ini dikongsi oleh pelakon tajaan kerajaan China yang lain di seluruh dunia, yang menimbulkan ancaman global.

Dalam satu insiden yang ketara, APT40 mengekalkan akses kepada rangkaian organisasi Australia antara Julai dan September 2022. Mereka mewujudkan berbilang vektor akses, mengeksfiltrasi sejumlah besar data dan bergerak secara menyamping dalam rangkaian. Dalam kes lain, kumpulan itu menjejaskan portal log masuk akses jauh organisasi, mengeksploitasi kecacatan pelaksanaan kod jauh (RCE) yang didedahkan secara terbuka untuk mengekstrak beberapa ratus pasangan nama pengguna dan kata laluan yang unik.

Untuk mengurangkan risiko serangan sedemikian, organisasi dinasihatkan untuk melaksanakan keupayaan pembalakan yang komprehensif, menampal semua peralatan yang boleh diakses Internet dengan segera, melaksanakan pembahagian rangkaian, melumpuhkan perkhidmatan, port dan protokol yang tidak digunakan, mendayakan pengesahan berbilang faktor dan menggantikan peralatan lama. Pengeluar perisian digesa untuk mengguna pakai prinsip Secure by Design untuk meningkatkan keselamatan produk mereka.

Nasihat gabungan itu menekankan keperluan untuk semua organisasi menyemak cadangan ini untuk mengenal pasti, mencegah dan memperbaiki pencerobohan APT40. Dengan menggunakan langkah-langkah ini, organisasi boleh mengukuhkan pertahanan mereka terhadap teknik canggih yang digunakan oleh APT40 dan pelakon ancaman tajaan kerajaan yang lain.