Китайский APT41 взломал правительственные сети США через приложение USAHerds

Исследователи безопасности из Mandiant Security опубликовали недавний отчет с подробным описанием своих выводов о недавней активности APT41 — киберпреступной организации, которая, как считается, пользуется поддержкой китайского государства. Согласно Mandiant, APT41 удалось использовать комбинацию атак Log4j и уязвимостей нулевого дня для взлома нескольких правительственных сетей США.

Zero-days и Log4j используются вместе

Рассматриваемые уязвимости нулевого дня обнаружены в приложении USAHerds. Это инструмент, используемый животноводами США в качестве «системы управления информацией о здоровье животных». Приложение существует уже несколько лет. Однако только недавно APT41 удалось злоупотребить недостатками безопасности.

Считается, что APT41 — это спонсируемая государством китайская организация, которая традиционно занимается кибершпионажем . В этой последней атаке исследователи обнаружили новые инструменты, новые методы уклонения от обнаружения и новые методы, используемые злоумышленником.

Уязвимость, используемая для доступа к сетям США, отслеживается как CVE-2021-44207. Атака использовала двусторонний подход, а также использовала печально известную уязвимость Log4j . Уязвимость в USAHerds была исправлена в ноябре 2021 года и основывалась на использовании приложением жестко запрограммированных ключей статической проверки и шифрования, что в конечном итоге позволяло удаленное выполнение кода в системе.

Приложение разделяет эти статические ключи между всеми установленными экземплярами, вместо того чтобы генерировать уникальные ключи при каждой установке, что, по мнению исследователей, является серьезной проблемой безопасности.

Не менее шести сетей, к которым обращается APT41.

Невозможно узнать, как APT41 удалось получить значения общих ключей, но как только они получили к ним доступ, они могли получить доступ к «любому серверу», на котором запущено приложение USAHerds. Хотя известно, что шесть правительственных сетей США были скомпрометированы в результате атаки, Mandiant ожидает, что есть еще жертвы, которые просто не зарегистрированы.

APT41 уже давно нацелен на американские организации, а атаки, связанные с той же организацией, датируются 2019 годом. Группа известна своей ловкостью и ловкостью, когда дело доходит до уклонения, и использованием передовых методов при проникновении в свои цели.