Kinesisk APT41 brøt amerikanske myndigheters nettverk gjennom USAHerds-appen

Sikkerhetsforskere med Mandiant-sikkerhet publiserte en fersk rapport som beskriver funnene deres om nylig aktivitet av APT41 - en nettkriminalitet som antas å ha støtte fra kinesisk stat. I følge Mandiant klarte APT41 å bruke en kombinasjon av Log4j-angrep og zero-day sårbarheter for å kompromittere flere amerikanske regjeringsnettverk.

Zero-days og Log4j brukt sammen

De aktuelle nulldagssårbarhetene finnes i en applikasjon kalt USAHerds. Det er et verktøy som brukes av husdyrbønder over hele USA som et "informasjonsstyringssystem for dyrehelse". Applikasjonen har eksistert i flere år nå. Det var imidlertid først nylig at APT41 klarte å misbruke sikkerhetsfeil i den.

APT41 antas å være et statsstøttet kinesisk-basert antrekk som tradisjonelt driver med cyberspionasje . I dette siste angrepet oppdaget forskere nye verktøy, nye metoder for å unngå oppdagelse og nye teknikker brukt av trusselaktøren.

Sårbarheten som brukes for å få tilgang til amerikanske nettverk spores som CVE-2021-44207. Angrepet brukte en todelt tilnærming, og utnyttet også den beryktede Log4j-sårbarheten . Sårbarheten i USAHerds ble korrigert i november 2021 og var avhengig av applikasjonens bruk av hardkodede, statiske validerings- og krypteringsnøkler, som til slutt tillot ekstern kjøring av kode på systemet.

Applikasjonen delte de statiske nøklene på tvers av alle installerte forekomster, i stedet for å generere unike på hver installasjon, som er et betydelig sikkerhetsproblem, ifølge forskere.

Minst seks nettverk som APT41 har tilgang til

Det er ingen måte å vite hvordan APT41 klarte å få tak i de delte nøkkelverdiene, men når de først hadde tilgang til disse, kunne de få tilgang til "hvilken som helst server" som kjører USAHerds-applikasjonen. Selv om seks amerikanske regjeringsnettverk er kjent for å ha blitt kompromittert i angrepet, forventer Mandiant at det er flere ofre der ute som rett og slett ikke har blitt registrert.

APT41 har vært rettet mot USA-baserte enheter i lang tid nå, med angrep knyttet til samme antrekk som dateres tilbake til 2019. Gruppen er kjent for å være skarpe og kvikk når det kommer til unndragelse og bruke avanserte teknikker når de infiltrerer sine mål.