O APT41 Chinês Violou Redes do Governo dos EUA através do Aplicativo USAHerds
Os pesquisadores de segurança da segurança da Mandiant publicaram um relatório recente, detalhando suas descobertas sobre a atividade recente do APT41 – uma organização de crimes cibernéticos que acredita-se ter o apoio do Estado chinês. De acordo com Mandiant, o APT41 conseguiu usar uma combinação de ataques Log4j e vulnerabilidades de dia zero para comprometer várias redes do governo dos EUA.
Dia-Zero e Log4j Usados Juntos
As vulnerabilidades de dia zero em questão são encontradas em um aplicativo chamado USAHerds. É uma ferramenta usada pelos criadores de gado nos EUA como um "sistema de gerenciamento de informações de saúde animal". O aplicativo já existe há alguns anos. No entanto, foi apenas recentemente que o APT41 conseguiu abusar das falhas de segurança nele.
Acredita-se que o APT41 seja um equipamento chinês patrocinado pelo Estado que tradicionalmente se envolve com espionagem cibernética. Neste último ataque, os pesquisadores identificaram novas ferramentas, novos métodos para evitar a detecção e novas técnicas empregadas pelo agente da ameaça.
A vulnerabilidade usada para acessar as redes dos EUA é rastreada como CVE-2021-44207. O ataque usou uma abordagem em duas frentes, aproveitando-se também da infame vulnerabilidade Log4j. A vulnerabilidade no USAHerds foi corrigida em novembro de 2021 e dependia do uso do aplicativo de chaves codificadas, de validação estática e de criptografia, permitindo a execução remota de código no sistema.
O aplicativo compartilhou essas chaves estáticas em todas as instâncias instaladas, em vez de gerar chaves exclusivas em cada instalação, o que é um problema de segurança significativo, de acordo com os pesquisadores.
Pelo Menos Seis Redes Foram Acessadas pelo APT41
Não há como saber como o APT41 conseguiu obter os valores das chaves compartilhadas, mas uma vez que eles tiveram acesso a elas, eles puderam obter acesso a "qualquer servidor" executando o aplicativo USAHerds. Embora se saiba que seis redes do governo dos EUA foram comprometidas no ataque, a Mandiant espera que haja mais vítimas por aí que simplesmente não foram registradas.
O APT41 tem como alvo entidades sediadas nos EUA há muito tempo, com ataques associados ao mesmo equipamento desde 2019. O grupo é conhecido por ser afiado e ágil quando se trata de evasão e por usar técnicas avançadas ao se infiltrar nos seus alvos.