Кинеска хакерска група АПТ40 коју Глобална коалиција окривљује за хаковање владиних мрежа

Коалиција нација, укључујући САД, Велику Британију, Канаду, Немачку, Јапан, Нови Зеланд и Јужну Кореју, придружила се Аустралији у окривљавању хакерске групе АПТ40 коју спонзорише кинеска држава за инфилтрирање у владине мреже. Овај развој догађаја прати санкције из марта 2024. против чланова АПТ31 , наглашавајући сталну претњу коју представљају кинески актери напредне персистентне претње (АПТ).

Познат под разним именима као што су Бронзе Мохавк, Гингхам Типхоон, Криптоните Панда и Левиатхан, АПТ40 је више пута циљао аустралијске мреже и оне у ширем региону. Саветодавни савет коалиције наводи: „АПТ40 је више пута циљао аустралијске мреже, као и мреже владиног и приватног сектора у региону, а претња коју они представљају нашим мрежама је у току.“

АПТ40 спроводи редовне извиђачке операције, искоришћавајући старе и рањиве уређаје. Они су вешти у брзом усвајању експлоатација за нове рањивости, укључујући оне у широко коришћеном софтверу као што је Атлассиан Цонфлуенце (ЦВЕ-2021-26084), Лог4Ј (ЦВЕ-2021-44228) и Мицрософт Екцханге (ЦВЕ-2021-31207, ЦВЕ-2021). -34523, ЦВЕ-2021-34473) . Упозорење упозорава да се очекује да ће АПТ40 наставити да користи експлоатацију доказа о концепту (ПоЦ) за нове рањивости високог профила убрзо након њиховог јавног објављивања.

За разлику од многих других актера претњи, АПТ40 радије користи рањиву инфраструктуру окренуту интернету за почетни приступ уместо да се ослања на пхисхинг или друге технике засноване на интеракцији корисника. Они ексфилтрирају акредитиве за накнадне операције и успостављају упорност рано у ланцу напада. Група је позната по томе да компромитује старе уређаје малих канцеларија/кућне канцеларије (СОХО), користећи их као почетне тачке за накнадне нападе који се стапају са легитимним мрежним саобраћајем. Ову тактику деле и други актери које спонзорише кинеска држава широм света, што представља глобалну претњу.

У једном значајном инциденту, АПТ40 је задржао приступ мрежи једне аустралијске организације између јула и септембра 2022. Успоставили су више вектора приступа, ексфилтрирали велике количине података и кретали се бочно унутар мреже. У другом случају, група је угрозила портал за пријаву на даљински приступ организације, искоришћавајући јавно откривену грешку у даљинском извршавању кода (РЦЕ) како би ексфилтрирала неколико стотина јединствених парова корисничког имена и лозинке.

Да би се смањио ризик од оваквих напада, организацијама се саветује да имплементирају свеобухватне могућности евидентирања, одмах закрпе све уређаје који су доступни на Интернету, имплементирају сегментацију мреже, онемогуће некоришћене услуге, портове и протоколе, омогуће вишефакторску аутентификацију и замене застарелу опрему. Произвођачи софтвера се позивају да усвоје принципе Сецуре би Десигн како би побољшали безбедност својих производа.

Саветодавни савет коалиције наглашава потребу да све организације преиспитају ове препоруке како би идентификовале, спречиле и поправиле упаде АПТ40. Усвајањем ових мера, организације могу ојачати своју одбрану од софистицираних техника које користе АПТ40 и други актери претњи које спонзорише држава.