Chiński APT41 naruszył sieci rządu USA za pośrednictwem aplikacji USAHerds
Badacze bezpieczeństwa z Mandiant Security opublikowali niedawny raport szczegółowo opisujący ich odkrycia dotyczące niedawnej aktywności APT41 – organizacji cyberprzestępczej, która, jak się uważa, ma wsparcie chińskiego państwa. Według Mandiant, APT41 zdołał wykorzystać kombinację ataków Log4j i luk zero-day, aby skompromitować kilka amerykańskich sieci rządowych.
Zero-days i Log4j używane razem
Omawiane luki dnia zerowego znajdują się w aplikacji o nazwie USAHerds. Jest to narzędzie wykorzystywane przez hodowców zwierząt gospodarskich w całych Stanach Zjednoczonych jako „system zarządzania informacjami o zdrowiu zwierząt”. Aplikacja istnieje już od kilku lat. Jednak dopiero niedawno APT41 zdołał wykorzystać luki w jego zabezpieczeniach.
Uważa się, że APT41 jest sponsorowaną przez państwo chińską organizacją, która tradycyjnie angażuje się w cyberszpiegostwo. W tym najnowszym ataku badacze dostrzegli nowe narzędzia, nowe metody unikania wykrycia oraz nowe techniki stosowane przez cyberprzestępcę.
Luka wykorzystywana do uzyskania dostępu do sieci w USA jest śledzona jako CVE-2021-44207. W ataku zastosowano dwutorowe podejście, wykorzystując również niesławną lukę Log4j. Luka w USAHerds została załatana w listopadzie 2021 roku i opierała się na wykorzystaniu przez aplikację zakodowanych na stałe, statycznych kluczy walidacji i szyfrowania, co ostatecznie umożliwiło zdalne wykonanie kodu w systemie.
Aplikacja udostępniała te klucze statyczne we wszystkich zainstalowanych instancjach, zamiast generować unikalne przy każdej instalacji, co według badaczy stanowi poważny problem z bezpieczeństwem.
Co najmniej sześć sieci dostępnych przez APT41
Nie ma sposobu, aby dowiedzieć się, w jaki sposób APT41 zdołał uzyskać współdzielone wartości klucza, ale gdy mieli do nich dostęp, mogli uzyskać dostęp do „dowolnego serwera” z aplikacją USAHerds. Chociaż wiadomo, że sześć amerykańskich sieci rządowych zostało skompromitowanych podczas ataku, Mandiant spodziewa się, że jest więcej ofiar, które po prostu nie zostały zarejestrowane.
APT41 od dawna atakuje jednostki z siedzibą w USA, a ataki związane z tym samym sprzętem sięgają 2019 r. Grupa znana jest z bycia i zwinności, jeśli chodzi o uniki i korzystanie z zaawansowanych technik podczas infiltracji swoich celów.