Chinese APT41 heeft Amerikaanse overheidsnetwerken geschonden via de USAHerds-app
Beveiligingsonderzoekers van Mandiant Security publiceerden een recent rapport met hun bevindingen over recente activiteiten van APT41 - een cybercriminaliteitsgroep waarvan wordt aangenomen dat ze door de Chinese staat wordt gesteund. Volgens Mandiant is APT41 erin geslaagd om een combinatie van Log4j-aanvallen en zero-day-kwetsbaarheden te gebruiken om verschillende Amerikaanse overheidsnetwerken te compromitteren.
Zero-days en Log4j samen gebruikt
De betreffende zero-day-kwetsbaarheden zijn te vinden in een applicatie genaamd USAHerds. Het is een hulpmiddel dat door veehouders in de VS wordt gebruikt als een "informatiebeheersysteem voor diergezondheid". De applicatie bestaat al een aantal jaren. Het was echter pas onlangs dat APT41 erin slaagde de beveiligingsfouten erin te misbruiken.
APT41 wordt beschouwd als een door de staat gesponsorde, in China gevestigde organisatie die zich traditioneel bezighoudt met cyberspionage. In deze laatste aanval ontdekten onderzoekers nieuwe tools, nieuwe methoden om detectie te ontwijken en nieuwe technieken die door de dreigingsactor werden gebruikt.
De kwetsbaarheid die wordt gebruikt om toegang te krijgen tot Amerikaanse netwerken wordt bijgehouden als CVE-2021-44207. De aanval gebruikte een tweeledige aanpak, waarbij ook gebruik werd gemaakt van de beruchte Log4j-kwetsbaarheid. De kwetsbaarheid in USAHerds werd in november 2021 gepatcht en was afhankelijk van het gebruik van hard-gecodeerde, statische validatie- en encryptiesleutels door de applicatie, waardoor uiteindelijk uitvoering van externe code op het systeem mogelijk werd.
De applicatie deelde die statische sleutels over alle geïnstalleerde instanties, in plaats van unieke sleutels te genereren bij elke installatie, wat volgens onderzoekers een aanzienlijk beveiligingsprobleem is.
Minstens zes netwerken waartoe APT41 toegang heeft
Er is geen manier om te weten hoe APT41 erin slaagde de gedeelde sleutelwaarden te bemachtigen, maar zodra ze er toegang toe hadden, konden ze toegang krijgen tot "elke server" waarop de USAHerds-applicatie draait. Hoewel bekend is dat zes Amerikaanse overheidsnetwerken zijn gecompromitteerd bij de aanval, verwacht Mandiant dat er meer slachtoffers zijn die gewoon niet zijn geregistreerd.
APT41 richt zich al lange tijd op in de VS gevestigde entiteiten, met aanvallen die verband houden met dezelfde outfit die teruggaat tot 2019. De groep staat bekend als scherp en wendbaar als het gaat om ontduiking en het gebruik van geavanceerde technieken bij het infiltreren van zijn doelen.