Kinesiska APT40 Hacking Group anklagas av Global Coalition för att ha hackat statliga nätverk

En koalition av nationer, inklusive USA, Storbritannien, Kanada, Tyskland, Japan, Nya Zeeland och Sydkorea, har anslutit sig till Australien och anklagar den kinesiska statligt sponsrade hackergruppen APT40 för att ha infiltrerat statliga nätverk. Denna utveckling följer sanktionerna mot APT31-medlemmar i mars 2024, och lyfter fram det ihållande hot som kinesiska aktörer med avseende på avancerade ihållande hot (APT) utgör.

Känd under olika namn som Bronze Mohawk, Gingham Typhoon, Kryptonite Panda och Leviathan, har APT40 upprepade gånger riktat in sig på australiska nätverk och de i den större regionen. Koalitionens råd säger: "APT40 har upprepade gånger riktat in sig på australiensiska nätverk såväl som statliga och privata nätverk i regionen, och hotet de utgör mot våra nätverk pågår."

APT40 genomför regelbundna spaningsoperationer och utnyttjar gamla och sårbara enheter. De är skickliga på att snabbt anta exploateringar för nya sårbarheter, inklusive de i mycket använd programvara som Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) och Microsoft Exchange (CVE-2021-31207, CVE-2021) -34523, CVE-2021-34473) . Den rådgivande varnar för att APT40 förväntas fortsätta att använda proof-of-concept (PoC) exploateringar för nya högprofilerade sårbarheter kort efter deras offentliga release.

Till skillnad från många andra hotaktörer föredrar APT40 att utnyttja sårbar, internet-vänd infrastruktur för initial åtkomst snarare än att förlita sig på nätfiske eller andra användarinteraktionsbaserade tekniker. De exfiltrerar referenser för uppföljande operationer och etablerar uthållighet tidigt i attackkedjan. Gruppen har varit känd för att äventyra äldre enheter för små kontor/hemmakontor (SOHO) genom att använda dem som startpunkter för efterföljande attacker som smälter in i legitim nätverkstrafik. Denna taktik delas av andra kinesiska statligt sponsrade aktörer över hela världen, vilket utgör ett globalt hot.

I en anmärkningsvärd incident behöll APT40 åtkomst till en australisk organisations nätverk mellan juli och september 2022. De etablerade flera åtkomstvektorer, exfiltrerade stora mängder data och flyttade i sidled inom nätverket. I ett annat fall äventyrade gruppen en organisations inloggningsportal för fjärråtkomst och utnyttjade en offentligt avslöjad RCE-fel (Remote Code Execution) för att exfiltrera flera hundra unika användarnamn och lösenordspar.

För att minska risken för sådana attacker rekommenderas organisationer att implementera omfattande loggningsfunktioner, omedelbart korrigera alla internettillgängliga apparater, implementera nätverkssegmentering, inaktivera oanvända tjänster, portar och protokoll, aktivera multifaktorautentisering och byta ut äldre utrustning. Programvarutillverkare uppmanas att anta Secure by Design-principer för att förbättra säkerheten för sina produkter.

Koalitionens råd betonar behovet av att alla organisationer granskar dessa rekommendationer för att identifiera, förhindra och åtgärda APT40-intrång. Genom att anta dessa åtgärder kan organisationer stärka sitt försvar mot de sofistikerade tekniker som används av APT40 och andra statligt sponsrade hotaktörer.