Ліцензії на кілька пристроїв (знижки за обсяги)
Computer Security Китайський APT41 зламав урядові мережі США через додаток...

Китайський APT41 зламав урядові мережі США через додаток USAHerds

До Mura року в Computer Security році
Перекласти на:
Українська

Дослідники безпеки з Mandiant Security опублікували нещодавню доповідь, в якій детально описали свої висновки щодо нещодавньої діяльності APT41 - організації, що займається кіберзлочинністю, яка, як вважають, має підтримку китайської держави. За словами Mandiant, APT41 зумів використати комбінацію атак Log4j і вразливостей нульового дня, щоб скомпрометувати кілька урядових мереж США.

Zero-day і Log4j використовуються разом

Уразливості нульового дня, про які йде мова, знаходяться в додатку під назвою USAHerds. Це інструмент, який використовуються тваринниками в США як «система управління інформацією про здоров’я тварин». Додаток існує вже кілька років. Однак лише нещодавно APT41 вдалося зловживати недоліками безпеки в ньому.

Вважається, що APT41 — це китайська організація, яка традиційно займається кібершпигунством . У цій останній атаці дослідники помітили нові інструменти, нові методи ухилення від виявлення та нові прийоми, які застосовував суб’єкт загрози.

Уразливість, яка використовується для доступу до мереж США, відстежується як CVE-2021-44207. Атака використовувала двосторонній підхід, також використовуючи сумнозвісну вразливість Log4j . Уразливість у USAHerds була виправлена в листопаді 2021 року та покладалася на використання програмою жорстко закодованих, статичних ключів перевірки та шифрування, що врешті дозволило віддалено виконувати код у системі.

Додаток поділився цими статичними ключами для всіх встановлених екземплярів замість того, щоб генерувати унікальні ключі під час кожного встановлення, що, на думку дослідників, є важливою проблемою безпеки.

Принаймні шість мереж, до яких має доступ APT41

Немає способу дізнатися, як APT41 вдалося отримати значення спільного ключа, але як тільки вони отримали доступ до них, вони могли отримати доступ до «будь-якого сервера», на якому запущено програму USAHerds. Незважаючи на те, що відомо, що шість урядових мереж США були скомпрометовані в результаті атаки, Mandiant очікує, що там є більше жертв, які просто не були зафіксовані.

APT41 вже тривалий час націлює на американські організації, причому атаки, пов’язані з тим самим нарядом, почалися з 2019 року. Група відома своєю різкою та спритною, коли справа доходить до ухилення та використанням передових методів під час проникнення до своїх цілей.

Завантаження...