Chinese APT40-hackgroep beschuldigd door wereldwijde coalitie voor het hacken van overheidsnetwerken

Een coalitie van landen, waaronder de VS, Groot-Brittannië, Canada, Duitsland, Japan, Nieuw-Zeeland en Zuid-Korea, heeft zich bij Australië aangesloten en de door de Chinese staat gesponsorde hackgroep APT40 de schuld gegeven van het infiltreren van overheidsnetwerken. Deze ontwikkeling volgt op de sancties van maart 2024 tegen APT31-leden , waarbij de aanhoudende dreiging wordt benadrukt die uitgaat van Chinese geavanceerde persistente dreigingsactoren (APT).

Bekend onder verschillende namen zoals Bronze Mohawk, Gingham Typhoon, Kryptonite Panda en Leviathan, heeft APT40 zich herhaaldelijk gericht op Australische netwerken en netwerken in de wijdere regio. In het advies van de coalitie staat: "APT40 heeft zich herhaaldelijk gericht op Australische netwerken, maar ook op netwerken van de overheid en de particuliere sector in de regio, en de dreiging die zij vormen voor onze netwerken is aanhoudend."

APT40 voert regelmatig verkenningsoperaties uit, waarbij gebruik wordt gemaakt van oude en kwetsbare apparaten. Ze zijn bedreven in het snel adopteren van exploits voor nieuwe kwetsbaarheden, waaronder die in veelgebruikte software zoals Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) en Microsoft Exchange (CVE-2021-31207, CVE-2021). -34523, CVE-2021-34473) . Het advies waarschuwt dat APT40 naar verwachting kort na hun publieke release proof-of-concept (PoC) exploits zal blijven gebruiken voor nieuwe spraakmakende kwetsbaarheden.

In tegenstelling tot veel andere bedreigingsactoren geeft APT40 er de voorkeur aan om kwetsbare, op het internet gerichte infrastructuur te exploiteren voor initiële toegang, in plaats van te vertrouwen op phishing of andere op gebruikersinteractie gebaseerde technieken. Ze exfiltreren inloggegevens voor vervolgoperaties en zorgen vroeg in de aanvalsketen voor persistentie. Het is bekend dat de groep oudere apparaten voor kleine kantoren/thuiskantoren (SOHO) in gevaar brengt en deze gebruikt als startpunt voor daaropvolgende aanvallen die zich vermengen met legitiem netwerkverkeer. Deze tactiek wordt wereldwijd gedeeld door andere door de Chinese staat gesponsorde actoren en vormt een mondiale dreiging.

Bij één opmerkelijk incident behield APT40 tussen juli en september 2022 toegang tot het netwerk van een Australische organisatie. Ze creëerden meerdere toegangsvectoren, exfiltreerden grote hoeveelheden gegevens en verplaatsten zich lateraal binnen het netwerk. In een ander geval heeft de groep het inlogportaal voor externe toegang van een organisatie gecompromitteerd, waarbij gebruik is gemaakt van een openbaar gemaakte fout in de uitvoering van externe code (RCE) om honderden unieke gebruikersnaam- en wachtwoordparen te exfiltreren.

Om het risico van dergelijke aanvallen te beperken, wordt organisaties geadviseerd om uitgebreide logmogelijkheden te implementeren, onmiddellijk alle internettoegankelijke apparaten te patchen, netwerksegmentatie te implementeren, ongebruikte services, poorten en protocollen uit te schakelen, multi-factor authenticatie in te schakelen en verouderde apparatuur te vervangen. Softwarefabrikanten worden aangespoord om de Secure by Design-principes toe te passen om de veiligheid van hun producten te verbeteren.

Het advies van de coalitie benadrukt de noodzaak voor alle organisaties om deze aanbevelingen te herzien om APT40-inbraken te identificeren, te voorkomen en te herstellen. Door deze maatregelen te nemen kunnen organisaties hun verdediging versterken tegen de geavanceerde technieken die worden gebruikt door APT40 en andere door de staat gesponsorde dreigingsactoren.