Chińska grupa hakerska APT40 obwiniana przez Globalną Koalicję za hakowanie sieci rządowych

Koalicja narodów, w tym USA, Wielka Brytania, Kanada, Niemcy, Japonia, Nowa Zelandia i Korea Południowa, dołączyła do Australii, obwiniając sponsorowaną przez państwo chińską grupę hakerską APT40 za infiltrację sieci rządowych. Sytuacja ta jest następstwem sankcji nałożonych w marcu 2024 r. na członków APT31 , co podkreśla trwałe zagrożenie stwarzane przez chińskie podmioty zajmujące się zaawansowanym trwałym zagrożeniem (APT).

Znany pod różnymi nazwami, takimi jak Bronze Mohawk, Gingham Typhoon, Kryptonite Panda i Leviathan, APT40 wielokrotnie atakował sieci australijskie i sieci w całym regionie. W doradztwie koalicji stwierdza się, że „APT40 wielokrotnie atakował sieci australijskie, a także sieci rządowe i sektora prywatnego w regionie, a zagrożenie, jakie stanowią dla naszych sieci, pozostaje ciągłe”.

APT40 prowadzi regularne działania rozpoznawcze, wykorzystując stare i podatne na ataki urządzenia. Są biegli w szybkim wdrażaniu exploitów wykorzystujących nowe luki w zabezpieczeniach, w tym te w powszechnie używanym oprogramowaniu, takim jak Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) i Microsoft Exchange (CVE-2021-31207, CVE-2021 -34523, CVE-2021-34473) . W biuletynie ostrzega się, że oczekuje się, że APT40 będzie w dalszym ciągu wykorzystywać exploity typu proof-of-concept (PoC) do wykrywania nowych, głośnych luk wkrótce po ich publicznym udostępnieniu.

W przeciwieństwie do wielu innych aktorów zagrożeń, APT40 woli wykorzystywać wrażliwą infrastrukturę internetową w celu uzyskania początkowego dostępu, niż polegać na phishingu lub innych technikach opartych na interakcji użytkownika. Ekstrahują dane uwierzytelniające do dalszych operacji i zapewniają trwałość na wczesnym etapie łańcucha ataków. Wiadomo, że grupa ta atakuje starsze urządzenia w małych biurach i biurach domowych (SOHO), wykorzystując je jako punkty uruchamiania kolejnych ataków, które mieszają się z legalnym ruchem sieciowym. Taktykę tę podzielają inni sponsorowani przez państwo chińskie podmioty na całym świecie, stwarzając globalne zagrożenie.

W jednym godnym uwagi incydencie APT40 utrzymywał dostęp do sieci australijskiej organizacji w okresie od lipca do września 2022 r. Ustalił wiele wektorów dostępu, wydobył duże ilości danych i przeniósł się w poprzek sieci. W innym przypadku grupa włamała się do portalu logowania zdalnego dostępu organizacji, wykorzystując publicznie ujawnioną lukę w zdalnym wykonywaniu kodu (RCE) w celu wydobycia kilkuset unikalnych par nazwy użytkownika i hasła.

Aby zmniejszyć ryzyko takich ataków, organizacjom zaleca się wdrożenie kompleksowych funkcji rejestrowania, niezwłoczne zainstalowanie poprawek we wszystkich urządzeniach dostępnych z dostępem do Internetu, wdrożenie segmentacji sieci, wyłączenie nieużywanych usług, portów i protokołów, włączenie uwierzytelniania wieloskładnikowego i wymianę starszego sprzętu. Wzywa się producentów oprogramowania do przyjęcia zasad Secure by Design w celu zwiększenia bezpieczeństwa swoich produktów.

W swoim poradniku koalicji podkreślono potrzebę przeglądu tych zaleceń przez wszystkie organizacje w celu identyfikowania, zapobiegania i naprawiania włamań APT40. Przyjmując te środki, organizacje mogą wzmocnić swoją obronę przed wyrafinowanymi technikami stosowanymi przez APT40 i inne sponsorowane przez państwo podmioty zagrażające.