Wspierany przez Chiny zaawansowane trwałe zagrożenie Aktor (APT) śledzony jako APT40 był zajęty rozwijaniem swojego podręcznika i ostatnio zaobserwowano, iż aktywnie atakuje nowe ofiary, wykorzystując luki w zabezpieczeniach urządzeń sieciowych małych biur i biur domowych (SoHo) jako punkt przejściowy dla dowodzenie i kontrola (C2) aktywność podczas ataków
Wynika to z międzynarodowego ostrzeżenia wydanego przez sojusz Five Eyes, agencje cybernetyczne z Australii, Kanady, Nowej Zelandii, Wielkiej Brytanii i Stanów Zjednoczonych, a także organizacje partnerskie z Niemiec, Japonii i Korei Południowej.
Według Australijskiego Centrum Cyberbezpieczeństwa (ACSC), która była główną agencją, która ogłosiła stan zagrożenia, APT40 wielokrotnie atakowała sieci w Australii i na całym świecie, stosując tę metodę.
W dwóch studiach przypadków opublikowanych przez władze australijskie, APT40 wykorzystywał zainfekowane urządzenia SoHO jako infrastrukturę operacyjną i przekierowywacze „ostatniego skoku” podczas swoich ataków, chociaż jednym ze skutków takiego postępowania było ułatwienie charakteryzowania i śledzenia ich aktywności.
Agencje opisały takie urządzenia sieciowe SoHo jako znacznie łatwiejsze cele dla złośliwych aktorów niż ich odpowiedniki w dużych przedsiębiorstwach.
„Wiele z tych urządzeń SoHO jest wycofanych z eksploatacji lub niezałatanych i stanowią łatwy cel dla eksploatacji N-day” – powiedzieli Australijczycy. „Po naruszeniu urządzenia SoHO stanowią punkt startowy dla ataków, które mogą wtopić się w legalny ruch i rzucić wyzwanie obrońcom sieci.
„Technika ta jest również regularnie stosowana przez innych aktorów sponsorowanych przez ChRL na całym świecie, a agencje ją tworzące uważają to za wspólne zagrożenie.
„APT40 czasami wykorzystuje w swoich działaniach zakupioną lub wydzierżawioną infrastrukturę jako infrastrukturę C2 skierowaną przeciwko ofiarom; jednak ta technika wydaje się być w relatywnym zaniku” – dodali.
ACSC udostępniło szczegóły jednego cyberataku APT40, na który zareagowało w sierpniu 2022 r., podczas którego złośliwy adres IP, który prawdopodobnie był powiązany z grupą, wchodził w interakcję z siecią docelowej organizacji przez okres dwóch miesięcy, używając urządzenia, które prawdopodobnie należało do małej firmy lub użytkownika domowego. Atak ten został naprawiony, zanim APT40 mógł wyrządzić zbyt duże szkody.
Mohammed Kazem, starszy badacz ds. zagrożeń w ZBezpiecznepowiedział: „Nic nie wskazuje na to, iż tempo lub wpływ chińskich operacji cybernetycznych sponsorowanych przez rząd/państwo spadły… zamiast tego przez cały czas doskonalą i udoskonalają swoje rzemiosło. Wykazali się chęcią wycofania metod i narzędzi, które już nie działają, na rzecz nowych, ale chociaż ich standardowe TTP okazały się skuteczne, chętnie przez cały czas ich używają.
„Niniejsze ostrzeżenie podkreśla również wspólny i rosnący trend wśród aktorów ChRL w ostatnich latach, aby atakować urządzenia brzegowe poprzez eksploatację i wykorzystywać zagrożone urządzenia jako część infrastruktury sieciowej i aktywności. Wierzymy, iż te techniki są świadomie stosowane przez tych aktorów w celu prowadzenia bardziej ukrytych operacji, które są trudniejsze do śledzenia i przypisywania, ale także stanowią wyzwanie dla konwencjonalnych mechanizmów bezpieczeństwa i nadzoru” — powiedział Kazem.
Godne uwagi zagrożenie
Grupa APT40 – znana również w różnych matrycach dostawców jako Kryptonite Panda, Gingham Typhoon, Leviathan i Bronze Mohawk – to bardzo aktywna grupa, która prawdopodobnie ma siedzibę w mieście Haikou w prowincji Hainan, wyspie u południowego wybrzeża Chin, około 300 mil na zachód od Hongkongu. Otrzymuje ona zadanie od Departamentu Bezpieczeństwa Państwowego Hainan w chińskim Ministerstwie Bezpieczeństwa Państwowego (MSS).
Był to prawdopodobnie jeden z wielu ataków APT biorących udział w serii cyberataków z 2021 r. przeprowadzonych za pośrednictwem kompromisy w serwerze Microsoft ExchangeW lipcu tego roku, cztery osoby z grupy zostały oskarżone przez władze USA przed atakami na sektory lotnictwa, obronności, edukacji, administracji państwowej, opieki zdrowotnej, biofarmaceutyki i gospodarki morskiej.
W ramach tej kampanii grupa APT40 ukradła własność intelektualną dotyczącą pojazdów podwodnych i autonomicznych, wzorów chemicznych, serwisowania samolotów komercyjnych, technologii sekwencjonowania genetycznego, badań nad chorobami takimi jak Ebola, HIV/AIDS i MERS, a także informacje służące wsparciu prób uzyskania kontraktów dla chińskich przedsiębiorstw państwowych.
APT40 jest uważane za szczególnie godne uwagi zagrożenie ze względu na swoje zaawansowane możliwości – potrafi gwałtownie przekształcać i wykorzystywać dowody koncepcji (PoC) nowych luk w zabezpieczeniach i kierować je przeciwko ofiarom, a członkowie jego zespołu regularnie przeprowadzają rozpoznanie w sieciach zainteresowań, szukając okazji do ich wykorzystania.
Z entuzjazmem korzysta z niektórych z najbardziej rozpowszechnionych i znaczących luk w zabezpieczeniach w ciągu ostatnich kilku lat, w tym z luk Log4j — co więcej, przez cały czas z powodzeniem wykorzystuje niektóre błędy wykryte jeszcze w 2017 roku.
Grupa wydaje się preferować atakowanie infrastruktury publicznej zamiast technik wymagających interakcji użytkownika – takich jak phishing za pośrednictwem poczty e-mail – i przywiązuje dużą wagę do uzyskiwania prawidłowych danych uwierzytelniających do wykorzystania w swoich atakach.
Łagodzenie włamań APT40
Do priorytetowych działań obrońców należą aktualizowanie rejestrów, szybkie zarządzanie poprawkami i wdrażanie segmentacji sieci.
Zespoły ds. bezpieczeństwa powinny również podjąć kroki mające na celu wyłączenie nieużywanych lub niepotrzebnych usług sieciowych, portów lub zapór sieciowych, wdrożyć zapory sieciowe aplikacji internetowych (WAF), egzekwować zasady najmniejszych uprawnień w celu ograniczenia dostępu, egzekwować uwierzytelnianie wieloskładnikowe (MFA) we wszystkich usługach zdalnego dostępu dostępnych przez Internet, wymienić zestaw narzędzi wycofany z eksploatacji oraz przejrzeć niestandardowe aplikacje pod kątem potencjalnie nadających się do wykorzystania funkcji.
