Čínska hackerská skupina APT40, ktorú Globálna koalícia obviňuje z hackovania vládnych sietí

Koalícia národov vrátane USA, Spojeného kráľovstva, Kanady, Nemecka, Japonska, Nového Zélandu a Južnej Kórey sa pripojila k Austrálii a obvinila čínsku štátom podporovanú hackerskú skupinu APT40 z infiltrácie vládnych sietí. Tento vývoj nasleduje po sankciách voči členom APT31 z marca 2024, čo poukazuje na pretrvávajúcu hrozbu, ktorú predstavujú čínski aktéri pokročilých pretrvávajúcich hrozieb (APT).

APT40, známy pod rôznymi menami, ako napríklad Bronze Mohawk, Gingham Typhoon, Kryptonite Panda a Leviathan, sa opakovane zameriava na austrálske siete a siete v širšom regióne. Poradenstvo koalície uvádza: "APT40 sa opakovane zameriava na austrálske siete, ako aj na siete vládneho a súkromného sektora v regióne a hrozba, ktorú predstavujú pre naše siete, stále trvá."

APT40 vykonáva pravidelné prieskumné operácie, pričom využíva staré a zraniteľné zariadenia. Sú zbehlí v rýchlom osvojovaní si nových zraniteľností, vrátane tých v široko používanom softvéri, ako je Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) a Microsoft Exchange (CVE-2021-31207, CVE-2021). -34523, CVE-2021-34473) . Odporúčanie varuje, že od APT40 sa očakáva, že bude pokračovať vo využívaní proof-of-concept (PoC) exploitov pre nové vysokoprofilové zraniteľnosti krátko po ich verejnom vydaní.

Na rozdiel od mnohých iných aktérov hrozieb, APT40 uprednostňuje využívanie zraniteľnej infraštruktúry orientovanej na internet na počiatočný prístup namiesto spoliehania sa na phishing alebo iné techniky založené na interakcii používateľa. Získavajú poverenia pre následné operácie a vytvárajú vytrvalosť na začiatku reťazca útokov. O tejto skupine je známe, že kompromituje staršie zariadenia pre malé kancelárie/domáce kancelárie (SOHO) a používa ich ako spúšťacie body pre následné útoky, ktoré sa spájajú s legitímnou sieťovou prevádzkou. Túto taktiku zdieľajú aj ďalší čínski štátom sponzorovaní aktéri na celom svete, čo predstavuje globálnu hrozbu.

V jednom pozoruhodnom incidente si APT40 udržal prístup k sieti austrálskej organizácie medzi júlom a septembrom 2022. Vytvorili viacero prístupových vektorov, exfiltrovali veľké množstvo údajov a pohybovali sa v rámci siete laterálne. V inom prípade skupina kompromitovala prihlasovací portál organizácie pre vzdialený prístup, pričom využila verejne zverejnenú chybu spustenia vzdialeného kódu (RCE) na exfiltráciu niekoľkých stoviek jedinečných párov používateľského mena a hesla.

Na zmiernenie rizika takýchto útokov sa organizáciám odporúča implementovať komplexné možnosti protokolovania, urýchlene opraviť všetky zariadenia dostupné na internete, implementovať segmentáciu siete, deaktivovať nepoužívané služby, porty a protokoly, povoliť viacfaktorovú autentifikáciu a nahradiť staršie zariadenia. Výrobcovia softvéru sú vyzývaní, aby prijali princípy Secure by Design na zvýšenie bezpečnosti svojich produktov.

Poradenstvo koalície zdôrazňuje potrebu, aby všetky organizácie prehodnotili tieto odporúčania na identifikáciu, prevenciu a nápravu prienikov APT40. Prijatím týchto opatrení môžu organizácie posilniť svoju obranu proti sofistikovaným technikám, ktoré používa APT40 a ďalší štátom sponzorovaní aktéri hrozieb.