กลุ่มแฮ็ค APT40 ของจีนถูกตำหนิโดยกลุ่มพันธมิตรระดับโลกในการแฮ็กเครือข่ายรัฐบาล

แนวร่วมของประเทศต่างๆ รวมถึงสหรัฐอเมริกา สหราชอาณาจักร แคนาดา เยอรมนี ญี่ปุ่น นิวซีแลนด์ และเกาหลีใต้ ได้เข้าร่วมกับออสเตรเลียในการกล่าวโทษ กลุ่มแฮ็กเกอร์ APT40 ที่รัฐจีนสนับสนุน ว่าแทรกซึมเครือข่ายของรัฐบาล การพัฒนานี้เกิดขึ้นภายหลังการคว่ำบาตร สมาชิก APT31 ในเดือนมีนาคม 2567 โดยเน้นย้ำถึงภัยคุกคามที่เกิดขึ้นอย่างต่อเนื่องโดยผู้มีบทบาท Advanced Perient Peristent (APT) ของจีน

APT40 เป็นที่รู้จักในชื่อต่างๆ เช่น Bronze Mohawk, Gingham Typhoon, Kryptonite Panda และ Leviathan โดยมีเป้าหมายซ้ำแล้วซ้ำเล่าไปยังเครือข่ายของออสเตรเลียและเครือข่ายที่อยู่ในภูมิภาคที่กว้างขึ้น ที่ปรึกษาของกลุ่มพันธมิตรกล่าวว่า "APT40 ได้กำหนดเป้าหมายไปที่เครือข่ายของออสเตรเลีย รวมถึงเครือข่ายภาครัฐและเอกชนในภูมิภาคซ้ำแล้วซ้ำอีก และภัยคุกคามที่พวกมันก่อต่อเครือข่ายของเรายังคงดำเนินอยู่"

APT40 ดำเนินการลาดตระเวนเป็นประจำ โดยใช้ประโยชน์จากอุปกรณ์เก่าและมีความเสี่ยง พวกเขาเชี่ยวชาญในการนำช่องโหว่ใหม่ๆ มาใช้อย่างรวดเร็ว รวมถึงซอฟต์แวร์ที่ใช้กันอย่างแพร่หลาย เช่น Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) และ Microsoft Exchange (CVE-2021-31207, CVE-2021 -34523, CVE-2021-34473) . คำแนะนำเตือนว่า APT40 คาดว่าจะยังคงใช้การหาประโยชน์แบบ Proof-of-Concept (PoC) ต่อไปสำหรับช่องโหว่ระดับสูงใหม่ ๆ ไม่นานหลังจากเผยแพร่สู่สาธารณะ

แตกต่างจากผู้แสดงภัยคุกคามอื่นๆ APT40 ชอบใช้ประโยชน์จากโครงสร้างพื้นฐานที่เชื่อมต่อกับอินเทอร์เน็ตที่มีช่องโหว่ สำหรับการเข้าถึงครั้งแรก แทนที่จะอาศัยฟิชชิ่งหรือเทคนิคการโต้ตอบของผู้ใช้อื่นๆ พวกเขากรองข้อมูลประจำตัวสำหรับการติดตามผล และสร้างการคงอยู่ตั้งแต่เนิ่นๆ ในห่วงโซ่การโจมตี เป็นที่รู้กันว่ากลุ่มนี้ประนีประนอมกับอุปกรณ์สำนักงานขนาดเล็ก/โฮมออฟฟิศ (SOHO) รุ่นเก่า โดยใช้เป็นจุดเริ่มต้นสำหรับการโจมตีครั้งต่อไปที่ผสมผสานกับการรับส่งข้อมูลเครือข่ายที่ถูกกฎหมาย กลยุทธ์นี้ใช้ร่วมกันโดยผู้มีบทบาทอื่นๆ ที่ได้รับการสนับสนุนจากรัฐจีนทั่วโลก ซึ่งก่อให้เกิดภัยคุกคามในระดับโลก

ในเหตุการณ์สำคัญครั้งหนึ่ง APT40 ยังคงเข้าถึงเครือข่ายขององค์กรในออสเตรเลียได้ระหว่างเดือนกรกฎาคมถึงกันยายน 2022 โดยสร้างเวกเตอร์การเข้าถึงหลายรายการ ขโมยข้อมูลจำนวนมาก และย้ายภายในเครือข่ายด้านข้าง ในอีกกรณีหนึ่ง กลุ่มดังกล่าวได้บุกรุกพอร์ทัลการเข้าสู่ระบบการเข้าถึงระยะไกลขององค์กร โดยใช้ประโยชน์จากข้อบกพร่องการเรียกใช้โค้ดจากระยะไกล (RCE) ที่เปิดเผยต่อสาธารณะ เพื่อขโมยคู่ชื่อผู้ใช้และรหัสผ่านที่ไม่ซ้ำกันหลายร้อยคู่

เพื่อลดความเสี่ยงของการโจมตีดังกล่าว องค์กรต่างๆ ได้รับคำแนะนำให้ใช้ความสามารถในการบันทึกที่ครอบคลุม แพทช์อุปกรณ์ที่เข้าถึงอินเทอร์เน็ตทั้งหมดได้ทันที ใช้การแบ่งส่วนเครือข่าย ปิดการใช้งานบริการ พอร์ต และโปรโตคอลที่ไม่ได้ใช้ เปิดใช้งานการรับรองความถูกต้องแบบหลายปัจจัย และเปลี่ยนอุปกรณ์รุ่นเก่า ผู้ผลิตซอฟต์แวร์ได้รับการกระตุ้นให้นำหลักการ Secure by Design มาใช้เพื่อเพิ่มความปลอดภัยให้กับผลิตภัณฑ์ของตน

คำแนะนำของกลุ่มพันธมิตรเน้นย้ำถึงความจำเป็นที่ทุกองค์กรจะต้องทบทวนคำแนะนำเหล่านี้เพื่อระบุ ป้องกัน และแก้ไขการบุกรุก APT40 การนำมาตรการเหล่านี้ไปใช้ องค์กรต่างๆ จะสามารถเสริมสร้างการป้องกันตนเองจากเทคนิคที่ซับซ้อนซึ่งใช้โดย APT40 และผู้ดำเนินการภัยคุกคามอื่นๆ ที่รัฐสนับสนุน