Nhóm hack APT40 của Trung Quốc bị liên minh toàn cầu đổ lỗi vì đã hack mạng chính phủ

Một liên minh gồm các quốc gia, bao gồm Mỹ, Anh, Canada, Đức, Nhật Bản, New Zealand và Hàn Quốc, đã cùng Úc đổ lỗi cho nhóm hack APT40 do nhà nước Trung Quốc bảo trợ đã xâm nhập vào các mạng của chính phủ. Diễn biến này diễn ra sau lệnh trừng phạt tháng 3 năm 2024 đối với các thành viên APT31 , nêu bật mối đe dọa dai dẳng do các tác nhân đe dọa dai dẳng (APT) nâng cao của Trung Quốc gây ra.

Được biết đến với nhiều cái tên khác nhau như Bronze Mohawk, Gingham Typhoon, Kryptonite Panda và Leviathan, APT40 đã nhiều lần nhắm mục tiêu vào các mạng của Úc và các mạng trong khu vực rộng lớn hơn. Cố vấn của liên minh nêu rõ: "APT40 đã nhiều lần nhắm mục tiêu vào các mạng của Úc cũng như các mạng của chính phủ và khu vực tư nhân trong khu vực, và mối đe dọa mà chúng gây ra cho các mạng của chúng tôi vẫn đang tiếp diễn".

APT40 tiến hành các hoạt động trinh sát thường xuyên, khai thác các thiết bị cũ và dễ bị tấn công. Họ rất giỏi trong việc nhanh chóng áp dụng các cách khai thác lỗ hổng mới, bao gồm cả các lỗ hổng trong phần mềm được sử dụng rộng rãi như Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) và Microsoft Exchange (CVE-2021-31207, CVE-2021 -34523, CVE-2021-34473) . Lời khuyên cảnh báo rằng APT40 dự kiến sẽ tiếp tục sử dụng các khai thác bằng chứng khái niệm (PoC) cho các lỗ hổng cấu hình cao mới ngay sau khi chúng được phát hành công khai.

Không giống như nhiều tác nhân đe dọa khác, APT40 thích khai thác cơ sở hạ tầng dễ bị tấn công trên Internet để truy cập ban đầu hơn là dựa vào lừa đảo hoặc các kỹ thuật dựa trên tương tác người dùng khác. Chúng lọc thông tin xác thực cho các hoạt động tiếp theo và sớm thiết lập tính bền vững trong chuỗi tấn công. Nhóm này được biết là đã xâm phạm các thiết bị văn phòng nhỏ/văn phòng tại nhà (SOHO) cũ, sử dụng chúng làm điểm khởi đầu cho các cuộc tấn công tiếp theo hòa trộn với lưu lượng mạng hợp pháp. Chiến thuật này được các chủ thể khác được nhà nước Trung Quốc bảo trợ trên toàn thế giới chia sẻ, gây ra mối đe dọa toàn cầu.

Trong một sự cố đáng chú ý, APT40 đã duy trì quyền truy cập vào mạng của một tổ chức Úc từ tháng 7 đến tháng 9 năm 2022. Chúng đã thiết lập nhiều vectơ truy cập, lấy cắp một lượng lớn dữ liệu và di chuyển ngang trong mạng. Trong một trường hợp khác, nhóm đã xâm phạm cổng đăng nhập truy cập từ xa của một tổ chức, khai thác lỗ hổng thực thi mã từ xa (RCE) được tiết lộ công khai để lấy cắp hàng trăm cặp tên người dùng và mật khẩu duy nhất.

Để giảm thiểu rủi ro của các cuộc tấn công như vậy, các tổ chức nên triển khai khả năng ghi nhật ký toàn diện, vá kịp thời tất cả các thiết bị có thể truy cập internet, triển khai phân đoạn mạng, vô hiệu hóa các dịch vụ, cổng và giao thức không sử dụng, bật xác thực đa yếu tố và thay thế thiết bị cũ. Các nhà sản xuất phần mềm được khuyến khích áp dụng các nguyên tắc Bảo mật theo Thiết kế để tăng cường tính bảo mật cho sản phẩm của họ.

Lời khuyên của liên minh nhấn mạnh sự cần thiết của tất cả các tổ chức để xem xét các khuyến nghị này để xác định, ngăn chặn và khắc phục sự xâm nhập của APT40. Bằng cách áp dụng các biện pháp này, các tổ chức có thể tăng cường khả năng phòng vệ của mình trước các kỹ thuật tinh vi được APT40 và các tác nhân đe dọa do nhà nước tài trợ khác sử dụng.