APT41 ของจีนละเมิดเครือข่ายรัฐบาลสหรัฐฯ ผ่านแอป USAHerds
นักวิจัยด้านความปลอดภัยที่มีการรักษาความปลอดภัยของ Mandiant ได้เผยแพร่รายงานล่าสุดที่มีรายละเอียดการค้นพบของพวกเขาเกี่ยวกับกิจกรรมล่าสุดโดย APT41 ซึ่งเป็นกลุ่มอาชญากรไซเบอร์ที่เชื่อว่าได้รับการสนับสนุนจากรัฐบาลจีน จากข้อมูลของ Mandiant APT41 สามารถใช้การ โจมตี Log4j และช่องโหว่ซีโร่เดย์ร่วมกันเพื่อประนีประนอมกับเครือข่ายของรัฐบาลสหรัฐฯ หลายแห่ง
Zero-days และ Log4j ใช้ร่วมกัน
พบช่องโหว่ Zero-day ที่เป็นปัญหาในแอปพลิเคชันชื่อ USAHerds เป็นเครื่องมือที่เกษตรกรผู้เลี้ยงปศุสัตว์ในสหรัฐอเมริกาใช้เป็น "ระบบการจัดการข้อมูลด้านสุขภาพสัตว์" แอปพลิเคชันได้รับรอบหลายปีแล้ว อย่างไรก็ตาม เมื่อไม่นานมานี้ APT41 ได้ใช้ข้อบกพร่องด้านความปลอดภัยในทางที่ผิด
เชื่อกันว่า APT41 เป็นเครื่องแต่งกายที่มีพื้นฐานมาจากจีนซึ่งได้รับการสนับสนุนจากรัฐ ซึ่งมัก เกี่ยวข้องกับการจารกรรมทางไซเบอร์ ในการโจมตีครั้งล่าสุดนี้ นักวิจัยค้นพบเครื่องมือใหม่ๆ วิธีการใหม่ในการหลบเลี่ยงการตรวจจับ และเทคนิคใหม่ๆ ที่ใช้โดยผู้คุกคาม
ช่องโหว่ที่ใช้ในการเข้าถึงเครือข่ายของสหรัฐอเมริกานั้นถูกติดตามเป็น CVE-2021-44207 การโจมตีใช้วิธีการแบบสองง่าม และยังใช้ประโยชน์จาก ช่องโหว่ Log4j ที่น่าอับอายอีกด้วย ช่องโหว่ใน USAHerds ได้รับการแก้ไขในเดือนพฤศจิกายนปี 2021 และอาศัยการใช้งานแอปพลิเคชันของฮาร์ดโค้ด การตรวจสอบความถูกต้องแบบคงที่ และการเข้ารหัส ซึ่งในที่สุดก็อนุญาตให้มีการเรียกใช้โค้ดจากระยะไกลบนระบบได้
แอปพลิเคชันแชร์สแตติกคีย์เหล่านั้นกับอินสแตนซ์ที่ติดตั้งทั้งหมด แทนที่จะสร้างคีย์เฉพาะในการติดตั้งแต่ละครั้ง ซึ่งเป็นปัญหาด้านความปลอดภัยที่สำคัญ ตามที่นักวิจัยกล่าว
อย่างน้อยหกเครือข่ายที่เข้าถึงโดยAPT41
ไม่มีทางรู้ว่า APT41 จัดการเพื่อรับค่าคีย์ที่ใช้ร่วมกันได้อย่างไร แต่เมื่อเข้าถึงแล้ว พวกเขาสามารถเข้าถึง "เซิร์ฟเวอร์ใดก็ได้" ที่รันแอปพลิเคชัน USAHerds แม้ว่าเครือข่ายของรัฐบาลสหรัฐฯ 6 แห่งจะถูกบุกรุกในการโจมตี แต่ Mandiant คาดหวังว่าจะมีเหยื่ออีกจำนวนมากที่ไม่ได้ถูกบันทึกไว้
APT41 ได้กำหนดเป้าหมายไปยังหน่วยงานในสหรัฐฯ มาเป็นเวลานานแล้ว โดยการโจมตีที่เกี่ยวข้องกับชุดเดียวกันนี้ย้อนหลังไปถึงปี 2019 กลุ่มนี้ขึ้นชื่อว่าเฉียบแหลมและว่องไวในการหลบเลี่ยงและใช้เทคนิคขั้นสูงในการแทรกซึมเป้าหมาย