Chinese APT40 Hacking Group Sinisi ng Global Coalition para sa Pag-hack ng Mga Network ng Pamahalaan
Isang koalisyon ng mga bansa, kabilang ang US, UK, Canada, Germany, Japan, New Zealand, at South Korea, ay sumali sa Australia sa pagsisi sa Chinese state-sponsored hacking group na APT40 para sa paglusot sa mga network ng gobyerno. Ang pag-unlad na ito ay kasunod ng mga parusa noong Marso 2024 laban sa mga miyembro ng APT31 , na itinatampok ang patuloy na banta ng mga aktor ng advanced persistent threat (APT) ng Chinese.
Kilala sa iba't ibang pangalan gaya ng Bronze Mohawk, Gingham Typhoon, Kryptonite Panda, at Leviathan, paulit-ulit na tina-target ng APT40 ang mga network ng Australia at ang mga nasa mas malawak na rehiyon. Ang advisory ng koalisyon ay nagsasaad, "Paulit-ulit na tina-target ng APT40 ang mga network ng Australia gayundin ang mga network ng gobyerno at pribadong sektor sa rehiyon, at ang banta ng mga ito sa aming mga network ay nagpapatuloy."
Ang APT40 ay nagsasagawa ng mga regular na operasyon ng reconnaissance, na nagsasamantala sa mga luma at mahinang kagamitan. Sila ay sanay sa mabilis na paggamit ng mga pagsasamantala para sa mga bagong kahinaan, kabilang ang mga nasa malawakang ginagamit na software tulad ng Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) , at Microsoft Exchange (CVE-2021-31207, CVE-2021 -34523, CVE-2021-34473) . Nagbabala ang advisory na ang APT40 ay inaasahang magpapatuloy sa paggamit ng proof-of-concept (PoC) na pagsasamantala para sa mga bagong high-profile na kahinaan sa ilang sandali pagkatapos ng kanilang pampublikong paglabas.
Hindi tulad ng maraming iba pang mga banta na aktor, mas gusto ng APT40 na pagsamantalahan ang mahina, na nakaharap sa internet na imprastraktura para sa paunang pag-access sa halip na umasa sa phishing o iba pang mga diskarte na nakabatay sa pakikipag-ugnayan ng user. Inalis nila ang mga kredensyal para sa mga follow-up na operasyon at nagtatag ng pagtitiyaga nang maaga sa chain ng pag-atake. Kilala ang grupo na ikompromiso ang mga legacy na small-office/home-office (SOHO) na device, gamit ang mga ito bilang mga launch point para sa mga kasunod na pag-atake na sumasama sa lehitimong trapiko sa network. Ang taktika na ito ay ibinahagi ng iba pang mga aktor na itinataguyod ng estado ng China sa buong mundo, na nagbabanta sa buong mundo.
Sa isang kapansin-pansing insidente, napanatili ng APT40 ang access sa network ng isang organisasyong Australian sa pagitan ng Hulyo at Setyembre 2022. Nagtatag sila ng maraming access vector, nag-exfiltrate ng malaking halaga ng data, at lumipat sa gilid sa loob ng network. Sa isa pang kaso, nakompromiso ng grupo ang malayuang pag-access sa login portal ng isang organisasyon, na sinasamantala ang isang ibinunyag sa publiko na remote code execution (RCE) na depekto upang i-exfiltrate ang ilang daang natatanging username at password na pares.
Upang mabawasan ang panganib ng mga naturang pag-atake, pinapayuhan ang mga organisasyon na magpatupad ng mga komprehensibong kakayahan sa pag-log, agad na i-patch ang lahat ng appliances na naa-access sa internet, ipatupad ang segmentation ng network, i-disable ang mga hindi nagamit na serbisyo, port, at protocol, paganahin ang multi-factor na pagpapatotoo, at palitan ang mga legacy na kagamitan. Hinihimok ang mga tagagawa ng software na gamitin ang mga prinsipyo ng Secure by Design upang mapahusay ang seguridad ng kanilang mga produkto.
Binibigyang-diin ng payo ng koalisyon ang pangangailangan para sa lahat ng organisasyon na suriin ang mga rekomendasyong ito upang matukoy, maiwasan, at malutas ang mga panghihimasok sa APT40. Sa pamamagitan ng pagpapatibay ng mga hakbang na ito, mapapalakas ng mga organisasyon ang kanilang mga depensa laban sa mga sopistikadong pamamaraan na ginagamit ng APT40 at iba pang mga aktor ng pagbabanta na inisponsor ng estado.