Глобальна коаліція звинуватила китайську хакерську групу APT40 у зламі державних мереж

Коаліція країн, включаючи США, Великобританію, Канаду, Німеччину, Японію, Нову Зеландію та Південну Корею, приєдналася до Австралії, звинувативши китайську державну хакерську групу APT40 у проникненні в урядові мережі. Ця подія сталася після санкцій у березні 2024 року проти учасників APT31 , що підкреслює постійну загрозу, яку становлять китайські суб’єкти передової постійної загрози (APT).

Відомий під різними іменами, такими як «Бронзовий ірокез», «Гінгем тайфун», «Криптонітова панда» та «Левіафан», APT40 неодноразово націлювався на австралійські мережі та мережі в ширшому регіоні. У пораді коаліції йдеться: «APT40 неодноразово атакувала австралійські мережі, а також мережі уряду та приватного сектору в регіоні, і загроза, яку вони становлять для наших мереж, триває».

APT40 проводить регулярні розвідувальні операції, використовуючи старі та вразливі пристрої. Вони вміють швидко застосовувати експлойти для нових уразливостей, у тому числі у широко використовуваному програмному забезпеченні, як-от Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) і Microsoft Exchange (CVE-2021-31207, CVE-2021). -34523, CVE-2021-34473) . У повідомленні попереджається, що APT40, як очікується, продовжить використовувати експлойти перевірки концепції (PoC) для нових гучних уразливостей невдовзі після їх публічного випуску.

На відміну від багатьох інших учасників загроз, APT40 вважає за краще використовувати вразливу інфраструктуру, що виходить в Інтернет, для початкового доступу, а не покладатися на фішинг або інші методи взаємодії з користувачем. Вони вилучають облікові дані для подальших операцій і встановлюють стійкість на ранніх етапах ланцюга атаки. Відомо, що група компрометує застарілі пристрої для малих/домашніх офісів (SOHO), використовуючи їх як точки запуску для подальших атак, які змішуються з легальним мережевим трафіком. Цю тактику поділяють інші китайські державні суб’єкти по всьому світу, що становить глобальну загрозу.

В одному помітному інциденті APT40 підтримував доступ до мережі австралійської організації в період з липня по вересень 2022 року. Вони встановили численні вектори доступу, викрали великі обсяги даних і переміщалися всередині мережі. В іншому випадку група скомпрометувала портал входу в систему віддаленого доступу організації, використовуючи публічно розкриту помилку віддаленого виконання коду (RCE), щоб викрасти кілька сотень унікальних пар імені користувача та пароля.

Щоб зменшити ризик таких атак, організаціям рекомендовано запровадити комплексні можливості ведення журналів, негайно виправити всі пристрої, доступні в Інтернеті, запровадити сегментацію мережі, вимкнути служби, порти та протоколи, що не використовуються, увімкнути багатофакторну автентифікацію та замінити застаріле обладнання. Виробників програмного забезпечення закликають прийняти принципи Secure by Design для підвищення безпеки своїх продуктів.

Консультація коаліції наголошує на необхідності для всіх організацій переглянути ці рекомендації для виявлення, запобігання та усунення вторгнень APT40. Приймаючи ці заходи, організації можуть посилити свій захист від складних методів, які використовує APT40 та інші спонсоровані державою суб’єкти загрози.