Kinesisk APT40 Hacking Group beskyldt av Global Coalition for hacking av regjeringsnettverk

En koalisjon av nasjoner, inkludert USA, Storbritannia, Canada, Tyskland, Japan, New Zealand og Sør-Korea, har sluttet seg til Australia og beskylder den kinesiske statsstøttede hackergruppen APT40 for å infiltrere regjeringsnettverk. Denne utviklingen følger sanksjonene mot APT31-medlemmer i mars 2024, og fremhever den vedvarende trusselen fra kinesiske aktører av avansert vedvarende trussel (APT).

Kjent under forskjellige navn som Bronze Mohawk, Gingham Typhoon, Kryptonite Panda og Leviathan, har APT40 gjentatte ganger vært rettet mot australske nettverk og de i større region. Koalisjonens råd sier: "APT40 har gjentatte ganger målrettet australske nettverk så vel som offentlige og private sektornettverk i regionen, og trusselen de utgjør for nettverkene våre er pågående."

APT40 gjennomfører regelmessige rekognoseringsoperasjoner, og utnytter gamle og sårbare enheter. De er flinke til å raskt ta i bruk utnyttelser for nye sårbarheter, inkludert de i mye brukt programvare som Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) og Microsoft Exchange (CVE-2021-31207, CVE-2021) -34523, CVE-2021-34473) . Rådgivningen advarer om at APT40 forventes å fortsette å bruke proof-of-concept (PoC) utnyttelser for nye høyprofilerte sårbarheter kort tid etter offentlig utgivelse.

I motsetning til mange andre trusselaktører, foretrekker APT40 å utnytte sårbar, internettvendt infrastruktur for førstegangstilgang i stedet for å stole på phishing eller andre brukerinteraksjonsbaserte teknikker. De eksfiltrerer legitimasjon for oppfølgingsoperasjoner og etablerer utholdenhet tidlig i angrepskjeden. Gruppen har vært kjent for å kompromittere eldre små-kontor/hjemmekontor (SOHO)-enheter, ved å bruke dem som lanseringspunkter for påfølgende angrep som smelter sammen med legitim nettverkstrafikk. Denne taktikken deles av andre kinesiske statsstøttede aktører over hele verden, og utgjør en global trussel.

I en bemerkelsesverdig hendelse opprettholdt APT40 tilgang til en australsk organisasjons nettverk mellom juli og september 2022. De etablerte flere tilgangsvektorer, eksfiltrerte store mengder data og beveget seg sideveis innenfor nettverket. I et annet tilfelle kompromitterte gruppen en organisasjons påloggingsportal for ekstern tilgang, og utnyttet en offentlig avslørt RCE-feil (Remote Code execution) for å fjerne flere hundre unike brukernavn- og passordpar.

For å redusere risikoen for slike angrep, anbefales organisasjoner å implementere omfattende loggingsfunksjoner, umiddelbart lappe alle Internett-tilgjengelige enheter, implementere nettverkssegmentering, deaktivere ubrukte tjenester, porter og protokoller, aktivere multifaktorautentisering og erstatte eldre utstyr. Programvareprodusenter oppfordres til å ta i bruk Secure by Design-prinsipper for å forbedre sikkerheten til produktene deres.

Koalisjonens råd understreker behovet for at alle organisasjoner gjennomgår disse anbefalingene for å identifisere, forhindre og utbedre APT40-inntrenging. Ved å ta i bruk disse tiltakene kan organisasjoner styrke sitt forsvar mot de sofistikerte teknikkene som brukes av APT40 og andre statsstøttede trusselaktører.