O Grupo Chinês de Hackers APT40 foi Responsabilizado pela Coalizão Global pelo Hackeamento de Redes Governamentais
Uma coligação de nações, incluindo os EUA, Reino Unido, Canadá, Alemanha, Japão, Nova Zelândia e Coreia do Sul, juntou-se à Austrália para culpar o grupo de hackers APT40, patrocinado pelo Estado chinês, por ums infiltração em redes governamentais. Este desenvolvimento segue-se às sanções de março de 2024 contra os membros do APT31, destacando a ameaça persistente representada pelos atores chineses de ameaças persistentes avançadas (APT).
Conhecido por vários nomes, como Bronze Mohawk, Gingham Typhoon, Kryptonite Panda e Leviathan, o APT40 tem visado repetidamente redes australianas e aquelas na região mais ampla. O comunicado da coalizão afirma: “O APT40 tem repetidamente como alvo as redes australianas, bem como as redes do governo e do setor privado na região, e a ameaça que representam para as nossas redes é contínua”.
O APT40 realiza operações regulares de reconhecimento, explorando dispositivos antigos e vulneráveis. Eles são adeptos da adoção rápida de explorações para novas vulnerabilidades, incluindo aquelas em softwares amplamente utilizados como Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) e Microsoft Exchange (CVE-2021-31207, CVE-2021 -34523, CVE-2021-34473). O comunicado alerta que se espera que o APT40 continue a usar explorações de prova de conceito (PoC) para novas vulnerabilidades de alto perfil logo após seu lançamento público.
Ao contrário de muitos outros atores de ameaças, o APT40 prefere explorar infraestruturas vulneráveis voltadas para a Internet para obter acesso inicial, em vez de depender de phishing ou outras técnicas baseadas na interação do usuário. Eles exfiltram credenciais para operações de acompanhamento e estabelecem persistência no início da cadeia de ataque. O grupo é conhecido por comprometer dispositivos legados de pequenos escritórios/escritórios domésticos (SOHO), usando-os como pontos de lançamento para ataques subsequentes que se misturam ao tráfego de rede legítimo. Esta tática é partilhada por outros intervenientes patrocinados pelo Estado Chinês em todo o mundo, representando uma ameaça global.
Num incidente notável, o APT40 manteve o acesso à rede de uma organização australiana entre julho e setembro de 2022. Estabeleceram múltiplos vetores de acesso, exfiltraram grandes quantidades de dados e moveram-se lateralmente dentro da rede. Em outro caso, o grupo comprometeu o portal de login de acesso remoto de uma organização, explorando uma falha de execução remota de código (RCE) divulgada publicamente para exfiltrar várias centenas de pares exclusivos de nome de usuário e senha.
Para mitigar o risco de tais ataques, as organizações são aconselhadas a implementar capacidades de registo abrangentes, corrigir imediatamente todos os dispositivos acessíveis pela Internet, implementar segmentação de rede, desativar serviços, portas e protocolos não utilizados, ativar a autenticação multifator e substituir equipamentos legados. Os fabricantes de software são incentivados a adotar os princípios Secure by Design para aumentar a segurança de seus produtos.
O comunicado da coligação enfatiza a necessidade de todas as organizações reverem estas recomendações para identificar, prevenir e remediar intrusões do APT40. Ao adotar estas medidas, as organizações podem reforçar as suas defesas contra as técnicas sofisticadas utilizadas pelo APT40 e outros atores de ameaças patrocinados pelo Estado.