Kitajski APT41 je prek aplikacije USAHerds vdrl v omrežja vlade ZDA
Varnostni raziskovalci z varnostjo Mandiant so objavili nedavno poročilo s podrobnostmi o svojih ugotovitvah o nedavni dejavnosti APT41 - organizacije za kibernetski kriminal, za katero se domneva, da ima podporo kitajske države. Po mnenju Mandiant je APT41 uspel uporabiti kombinacijo napadov Log4j in ranljivosti ničelnega dne, da bi ogrozil več omrežij vlade ZDA.
Zero-days in Log4j se uporabljata skupaj
Zadevne ranljivosti ničelnega dne najdemo v aplikaciji, imenovani USAHerds. To je orodje, ki ga živinorejci po ZDA uporabljajo kot "sistem upravljanja informacij o zdravju živali". Aplikacija obstaja že vrsto let. Vendar je APT41 šele pred kratkim uspel zlorabiti varnostne pomanjkljivosti v njem.
APT41 naj bi bila kitajska organizacija, ki jo sponzorira država, ki se tradicionalno ukvarja s kibernetskim vohunjenjem . V tem najnovejšem napadu so raziskovalci opazili nova orodja, nove metode za izogibanje odkrivanju in nove tehnike, ki jih je uporabil akter grožnje.
Ranljivost, ki se uporablja za dostop do ameriških omrežij, se spremlja kot CVE-2021-44207. Napad je uporabil dvosmerni pristop, ki je prav tako izkoriščal zloglasno ranljivost Log4j . Ranljivost v USAHerds je bila popravljena novembra 2021 in se je zanašala na uporabo trdo kodiranih, statičnih validacijskih in šifrirnih ključev v aplikaciji, kar je sčasoma omogočilo oddaljeno izvajanje kode v sistemu.
Aplikacija je te statične ključe delila v vseh nameščenih primerkih, namesto da bi pri vsaki namestitvi ustvarila edinstvene ključe, kar je po mnenju raziskovalcev pomembno varnostno vprašanje.
Najmanj šest omrežij, do katerih dostopa APT41
Ni mogoče vedeti, kako je APT41 uspelo pridobiti vrednosti skupnih ključev, a ko so imeli dostop do teh, so lahko pridobili dostop do "katerega koli strežnika", ki izvaja aplikacijo USAHerds. Čeprav je znano, da je bilo v napadu ogroženih šest vladnih omrežij ZDA, Mandiant pričakuje, da je tam več žrtev, ki preprosto niso bile zabeležene.
APT41 že dolgo cilja na subjekte s sedežem v ZDA, z napadi, povezanimi z isto obleko, ki segajo v leto 2019. Skupina je znana po tem, da je ostra in okretna, ko gre za izogibanje ter uporabi napredne tehnike pri infiltriranju v svoje tarče.