Çinli APT40 Hacking Grubu, Küresel Koalisyon Tarafından Hükümet Ağlarını Hacklemekle Suçlandı

Aralarında ABD, İngiltere, Kanada, Almanya, Japonya, Yeni Zelanda ve Güney Kore'nin de bulunduğu ülkelerden oluşan bir koalisyon, Çin devleti destekli bilgisayar korsanlığı grubu APT40'ı hükümet ağlarına sızmakla suçlayarak Avustralya'ya katıldı. Bu gelişme, APT31 üyelerine yönelik Mart 2024 yaptırımlarının ardından geldi ve Çin'in gelişmiş kalıcı tehdit (APT) aktörlerinin oluşturduğu kalıcı tehdidi vurguladı.

Bronze Mohawk, Gingham Typhoon, Kryptonite Panda ve Leviathan gibi çeşitli isimlerle bilinen APT40, defalarca Avustralya ağlarını ve daha geniş bölgedeki ağları hedef alıyor. Koalisyonun tavsiye niteliğindeki açıklaması şöyle: "APT40, bölgedeki hükümet ve özel sektör ağlarının yanı sıra Avustralya ağlarını da defalarca hedef aldı ve bunların ağlarımıza yönelik oluşturduğu tehdit devam ediyor."

APT40, eski ve savunmasız cihazlardan yararlanarak düzenli keşif operasyonları yürütür. Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) ve Microsoft Exchange (CVE-2021-31207, CVE-2021) gibi yaygın olarak kullanılan yazılımlardakiler de dahil olmak üzere yeni güvenlik açıklarına yönelik istismarları hızla benimseme konusunda ustadırlar. -34523, CVE-2021-34473) . Danışma belgesi, APT40'ın yeni yüksek profilli güvenlik açıkları için, kamuya açıklanmasından kısa bir süre sonra kavram kanıtını (PoC) kullanmaya devam etmesinin beklendiği konusunda uyarıyor.

Diğer birçok tehdit aktörünün aksine APT40, kimlik avı veya diğer kullanıcı etkileşimi tabanlı tekniklere güvenmek yerine, ilk erişim için savunmasız, internete yönelik altyapıdan yararlanmayı tercih ediyor . Takip operasyonları için kimlik bilgilerini sızdırıyorlar ve saldırı zincirinin erken safhalarında kalıcılık sağlıyorlar. Grubun eski küçük ofis/ev-ofis (SOHO) cihazlarını tehlikeye attığı ve bunları meşru ağ trafiğine uyum sağlayan sonraki saldırılar için başlangıç noktaları olarak kullandığı biliniyor. Bu taktik dünya çapında Çin devleti destekli diğer aktörler tarafından da paylaşılıyor ve küresel bir tehdit oluşturuyor.

Dikkate değer bir olayda APT40, Temmuz ve Eylül 2022 arasında Avustralyalı bir kuruluşun ağına erişimi sürdürdü. Birden fazla erişim vektörü oluşturdular, büyük miktarda veriyi sızdırdılar ve ağ içinde yatay olarak hareket ettiler. Başka bir vakada grup, birkaç yüz benzersiz kullanıcı adı ve şifre çiftini sızdırmak için kamuya açıklanmış bir uzaktan kod yürütme (RCE) kusurundan yararlanarak bir kuruluşun uzaktan erişim oturum açma portalının güvenliğini ihlal etti.

Bu tür saldırı riskini azaltmak için kuruluşlara kapsamlı günlük tutma yetenekleri uygulaması, internetten erişilebilen tüm cihazlara derhal yama yapılması, ağ bölümlendirmesi uygulanması, kullanılmayan hizmetleri, bağlantı noktalarını ve protokolleri devre dışı bırakması, çok faktörlü kimlik doğrulamayı etkinleştirmesi ve eski ekipmanı değiştirmesi tavsiye edilir. Yazılım üreticilerinin, ürünlerinin güvenliğini artırmak için Tasarım Yoluyla Güvenli ilkelerini benimsemeleri teşvik edilmektedir.

Koalisyonun tavsiye belgesi, tüm kuruluşların APT40 izinsiz girişlerini belirlemek, önlemek ve düzeltmek için bu önerileri gözden geçirmesi gerektiğini vurguluyor. Kuruluşlar bu önlemleri benimseyerek APT40 ve diğer devlet destekli tehdit aktörleri tarafından kullanılan karmaşık tekniklere karşı savunmalarını güçlendirebilirler.