Глобальная коалиция обвиняет китайскую хакерскую группу APT40 во взломе правительственных сетей

Коалиция стран, включающая США, Великобританию, Канаду, Германию, Японию, Новую Зеландию и Южную Корею, присоединилась к Австралии и обвинила спонсируемую государством хакерскую группу APT40 во проникновении в правительственные сети. Это событие последовало за санкциями, введенными в марте 2024 года против членов APT31 , что подчеркивает постоянную угрозу, исходящую от китайских субъектов передовой постоянной угрозы (APT).

Известный под разными именами, такими как «Бронзовый ирокез», «Гингемский тайфун», «Криптонитовая панда» и «Левиафан», APT40 неоднократно атаковал австралийские сети и сети в более широком регионе. В сообщении коалиции говорится: «APT40 неоднократно нападала на австралийские сети, а также на сети государственного и частного секторов в регионе, и угроза, которую они представляют для наших сетей, сохраняется».

APT40 проводит регулярные разведывательные операции, эксплуатируя старые и уязвимые устройства. Они умеют быстро внедрять эксплойты для новых уязвимостей, в том числе в широко используемом программном обеспечении, таком как Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) и Microsoft Exchange (CVE-2021-31207, CVE-2021). -34523, CVE-2021-34473) . В сообщении предупреждается, что APT40, как ожидается, продолжит использовать эксплойты для проверки концепции (PoC) для новых громких уязвимостей вскоре после их публичного выпуска.

В отличие от многих других злоумышленников, APT40 предпочитает использовать уязвимую инфраструктуру с выходом в Интернет для первоначального доступа, а не полагаться на фишинг или другие методы, основанные на взаимодействии с пользователем. Они крадут учетные данные для последующих операций и обеспечивают устойчивость на ранних этапах цепочки атак. Известно, что группа компрометировала устаревшие устройства для небольших и домашних офисов (SOHO), используя их в качестве стартовых точек для последующих атак, которые смешиваются с законным сетевым трафиком. Эту тактику разделяют и другие спонсируемые китайским государством субъекты по всему миру, что представляет собой глобальную угрозу.

В одном примечательном инциденте APT40 поддерживал доступ к сети австралийской организации в период с июля по сентябрь 2022 года. Они установили несколько векторов доступа, украли большие объемы данных и переместились в поперечном направлении внутри сети. В другом случае группа взломала портал входа в систему удаленного доступа организации, воспользовавшись публично раскрытой уязвимостью удаленного выполнения кода (RCE) для кражи нескольких сотен уникальных пар имени пользователя и пароля.

Чтобы снизить риск таких атак, организациям рекомендуется реализовать комплексные возможности ведения журналов, оперативно обновлять все устройства, доступные в Интернете, осуществлять сегментацию сети, отключать неиспользуемые службы, порты и протоколы, включать многофакторную аутентификацию и заменять устаревшее оборудование. Производителям программного обеспечения настоятельно рекомендуется принять принципы Secure by Design для повышения безопасности своих продуктов.

В рекомендациях коалиции подчеркивается необходимость того, чтобы все организации рассмотрели эти рекомендации для выявления, предотвращения и устранения вторжений APT40. Приняв эти меры, организации могут укрепить свою защиту от сложных методов, используемых APT40 и другими спонсируемыми государством субъектами угроз.