Grupul chinez de piratare APT40 acuzat de Coaliția globală pentru piratarea rețelelor guvernamentale
O coaliție de națiuni, inclusiv SUA, Marea Britanie, Canada, Germania, Japonia, Noua Zeelandă și Coreea de Sud, s-a alăturat Australiei pentru a acuza grupul chinez de hacking sponsorizat de stat APT40 pentru infiltrarea în rețelele guvernamentale. Această evoluție urmează sancțiunilor din martie 2024 împotriva membrilor APT31 , evidențiind amenințarea persistentă reprezentată de actorii chinezi amenințări persistente avansate (APT).
Cunoscut sub diferite nume, cum ar fi Bronze Mohawk, Gingham Typhoon, Kryptonite Panda și Leviathan, APT40 a vizat în mod repetat rețelele australiene și cele din regiunea mai largă. Avizul coaliției afirmă: „APT40 a vizat în mod repetat rețelele australiene, precum și rețelele guvernamentale și din sectorul privat din regiune, iar amenințarea pe care o reprezintă pentru rețelele noastre este continuă”.
APT40 desfășoară operațiuni regulate de recunoaștere, exploatând dispozitive vechi și vulnerabile. Sunt abili în adoptarea rapidă a exploatărilor pentru noi vulnerabilități, inclusiv cele din software-ul utilizat pe scară largă precum Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) și Microsoft Exchange (CVE-2021-31207, CVE-2021). -34523, CVE-2021-34473) . Avizul avertizează că se așteaptă că APT40 va continua să utilizeze exploatații proof-of-concept (PoC) pentru noi vulnerabilități de profil înalt la scurt timp după lansarea lor publică.
Spre deosebire de mulți alți actori de amenințări, APT40 preferă să exploateze infrastructura vulnerabilă, orientată spre internet pentru accesul inițial, decât să se bazeze pe phishing sau alte tehnici bazate pe interacțiunea utilizatorului. Ei exfiltrează acreditările pentru operațiunile de urmărire și stabilesc persistența la începutul lanțului de atac. Se știe că grupul compromite dispozitivele vechi de birouri mici/birou de acasă (SOHO), utilizându-le ca puncte de lansare pentru atacurile ulterioare care se îmbină cu traficul de rețea legitim. Această tactică este împărtășită de alți actori chinezi sponsorizați de stat din întreaga lume, reprezentând o amenințare globală.
Într-un incident notabil, APT40 a menținut accesul la rețeaua unei organizații australiane între iulie și septembrie 2022. Au stabilit mai mulți vectori de acces, au exfiltrat cantități mari de date și s-au mutat lateral în cadrul rețelei. Într-un alt caz, grupul a compromis portalul de conectare cu acces de la distanță al unei organizații, exploatând un defect de execuție a codului de la distanță (RCE) dezvăluit public pentru a exfiltra câteva sute de perechi unice de nume de utilizator și parolă.
Pentru a atenua riscul unor astfel de atacuri, organizațiile sunt sfătuite să implementeze capabilități cuprinzătoare de înregistrare, să patcheze prompt toate dispozitivele accesibile pe internet, să implementeze segmentarea rețelei, să dezactiveze serviciile, porturile și protocoalele neutilizate, să activeze autentificarea cu mai mulți factori și să înlocuiască echipamentele vechi. Producătorii de software sunt îndemnați să adopte principiile Secure by Design pentru a spori securitatea produselor lor.
Avizul coaliției subliniază necesitatea ca toate organizațiile să revizuiască aceste recomandări pentru a identifica, preveni și remedia intruziunile APT40. Prin adoptarea acestor măsuri, organizațiile își pot consolida apărarea împotriva tehnicilor sofisticate folosite de APT40 și de alți actori de amenințări sponsorizați de stat.