Kitajska hekerska skupina APT40, ki jo Globalna koalicija krivi za vdiranje v vladna omrežja

Koalicija držav, vključno z ZDA, Združenim kraljestvom, Kanado, Nemčijo, Japonsko, Novo Zelandijo in Južno Korejo, se je pridružila Avstraliji in obtožila kitajsko državno sponzorirano hekersko skupino APT40 za infiltracijo v vladna omrežja. Ta razvoj sledi sankcijam proti članom APT31 marca 2024, ki poudarjajo stalno grožnjo, ki jo predstavljajo kitajski napredni akterji trajne grožnje (APT).

APT40, poznan pod različnimi imeni, kot so Bronasti Mohawk, Gingham Typhoon, Kryptonite Panda in Leviathan, že večkrat cilja na avstralska omrežja in tista v širši regiji. Koalicijsko svetovanje navaja, da je "APT40 večkrat ciljal na avstralska omrežja ter omrežja vladnega in zasebnega sektorja v regiji in grožnja, ki jo predstavljajo našim omrežjem, se nadaljuje."

APT40 izvaja redne izvidniške operacije, pri čemer izkorišča stare in ranljive naprave. Spretni so v hitrem sprejemanju izkoriščanja za nove ranljivosti, vključno s tistimi v široko uporabljani programski opremi, kot je Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) in Microsoft Exchange (CVE-2021-31207, CVE-2021). -34523, CVE-2021-34473) . Nasvet opozarja, da se pričakuje, da bo APT40 kmalu po javni objavi še naprej uporabljal izkoriščanja dokazov koncepta (PoC) za nove odmevne ranljivosti.

Za razliko od mnogih drugih akterjev groženj APT40 za začetni dostop raje izkorišča ranljivo infrastrukturo, usmerjeno v internet, namesto da se zanaša na lažno predstavljanje ali druge tehnike, ki temeljijo na interakciji z uporabniki. Izločijo poverilnice za nadaljnje operacije in vzpostavijo obstojnost zgodaj v verigi napada. Skupina je znana po tem, da ogroža podedovane naprave za majhne pisarne/domače pisarne (SOHO) in jih uporablja kot izhodiščne točke za nadaljnje napade, ki se mešajo z zakonitim omrežnim prometom. To taktiko delijo drugi kitajski akterji po vsem svetu, ki jih sponzorira država, kar predstavlja globalno grožnjo.

V enem opaznem incidentu je APT40 ohranil dostop do omrežja avstralske organizacije med julijem in septembrom 2022. Vzpostavili so več vektorjev dostopa, izločili velike količine podatkov in se bočno premikali znotraj omrežja. V drugem primeru je skupina ogrozila portal za prijavo na oddaljeni dostop organizacije, pri čemer je izkoristila javno razkrito napako izvajanja oddaljene kode (RCE), da bi izbrskala več sto edinstvenih parov uporabniškega imena in gesla.

Za zmanjšanje tveganja takšnih napadov se organizacijam svetuje, da izvajajo obsežne zmogljivosti beleženja, nemudoma popravijo vse internetno dostopne naprave, implementirajo segmentacijo omrežja, onemogočijo neuporabljene storitve, vrata in protokole, omogočijo večfaktorsko avtentikacijo in zamenjajo podedovano opremo. Proizvajalci programske opreme so pozvani, da sprejmejo načela Secure by Design, da povečajo varnost svojih izdelkov.

Svetovanje koalicije poudarja potrebo, da vse organizacije pregledajo ta priporočila, da prepoznajo, preprečijo in odpravijo vdore APT40. S sprejetjem teh ukrepov lahko organizacije okrepijo svojo obrambo pred sofisticiranimi tehnikami, ki jih uporabljajo APT40 in drugi akterji groženj, ki jih sponzorira država.