Grupi kinez i hakerave APT40 fajësohet nga Koalicioni Global për hakerimin e rrjeteve qeveritare
Një koalicion kombesh, duke përfshirë SHBA-në, Britaninë e Madhe, Kanadanë, Gjermaninë, Japoninë, Zelandën e Re dhe Korenë e Jugut, i është bashkuar Australisë duke fajësuar grupin e hakerëve të sponsorizuar nga shteti kinez APT40 për infiltrimin e rrjeteve qeveritare. Ky zhvillim vjen pas sanksioneve të marsit 2024 kundër anëtarëve të APT31 , duke theksuar kërcënimin e vazhdueshëm të paraqitur nga aktorët kinezë të kërcënimeve të përparuara të vazhdueshme (APT).
I njohur me emra të ndryshëm si Bronze Mohawk, Gingham Typhoon, Kryptonite Panda dhe Leviathan, APT40 ka synuar vazhdimisht rrjetet australiane dhe ato në rajonin më të gjerë. Këshillimi i koalicionit thotë, "APT40 ka shënjestruar vazhdimisht rrjetet australiane, si dhe rrjetet e qeverisë dhe sektorit privat në rajon, dhe kërcënimi që ato paraqesin për rrjetet tona është i vazhdueshëm."
APT40 kryen operacione të rregullta zbulimi, duke shfrytëzuar pajisjet e vjetra dhe të cenueshme. Ata janë të aftë në adoptimin e shpejtë të shfrytëzimeve për dobësitë e reja, duke përfshirë ato në softuerët e përdorur gjerësisht si Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) dhe Microsoft Exchange (CVE-2021-31207, CVE-202 -34523, CVE-2021-34473) . Këshillimi paralajmëron se APT40 pritet të vazhdojë të përdorë shfrytëzimet e provës së konceptit (PoC) për dobësitë e reja të profilit të lartë menjëherë pas publikimit të tyre.
Ndryshe nga shumë aktorë të tjerë të kërcënimit, APT40 preferon të shfrytëzojë infrastrukturën vulnerabël, të përballur me internetin për aksesin fillestar në vend që të mbështetet në phishing ose teknika të tjera të bazuara në ndërveprim me përdoruesit. Ata nxjerrin kredencialet për operacionet pasuese dhe vendosin këmbëngulje në fillim të zinxhirit të sulmit. Grupi ka qenë i njohur për komprometimin e pajisjeve të vjetra të zyrës së vogël/zyrës në shtëpi (SOHO), duke i përdorur ato si pika nisjeje për sulmet e mëvonshme që përzihen me trafikun legjitim të rrjetit. Kjo taktikë ndahet nga aktorë të tjerë të sponsorizuar nga shteti kinez në mbarë botën, duke paraqitur një kërcënim global.
Në një incident të dukshëm, APT40 mbajti akses në rrjetin e një organizate australiane midis korrikut dhe shtatorit 2022. Ata krijuan vektorë të shumëfishtë aksesi, ekfiltronin sasi të mëdha të dhënash dhe lëvizën anash brenda rrjetit. Në një rast tjetër, grupi komprometoi portalin e hyrjes në distancë të një organizate, duke shfrytëzuar një defekt të zbuluar publikisht të ekzekutimit të kodit në distancë (RCE) për të shfrytëzuar disa qindra çifte unike të emrave të përdoruesit dhe fjalëkalimit.
Për të zbutur rrezikun e sulmeve të tilla, organizatat këshillohen të zbatojnë aftësi gjithëpërfshirëse të regjistrimit, të rregullojnë menjëherë të gjitha pajisjet e aksesueshme nga interneti, të zbatojnë segmentimin e rrjetit, të çaktivizojnë shërbimet, portet dhe protokollet e papërdorura, të mundësojnë vërtetimin me shumë faktorë dhe të zëvendësojnë pajisjet e vjetra. Prodhuesve të softuerëve u kërkohet të miratojnë parimet Secure by Design për të rritur sigurinë e produkteve të tyre.
Këshillimi i koalicionit thekson nevojën që të gjitha organizatat t'i rishikojnë këto rekomandime për të identifikuar, parandaluar dhe korrigjuar ndërhyrjet e APT40. Duke miratuar këto masa, organizatat mund të forcojnë mbrojtjen e tyre kundër teknikave të sofistikuara të përdorura nga APT40 dhe aktorë të tjerë kërcënimi të sponsorizuar nga shteti.