Υπηρεσίες κυβερνοασφάλειας από την Αυστραλία, τον Καναδά, τη Γερμανία, την Ιαπωνία, τη Νέα Ζηλανδία, τη Νότια Κορέα, το Ηνωμένο Βασίλειο και τις ΗΠΑ εξέδωσαν κοινή δήλωση σχετικά με την κινέζικη ομάδα κυβερνοκατασκοπείας APT40, προειδοποιώντας για την ικανότητά της να εκμεταλλεύεται νέες ευπάθειες ασφαλείας εντός ωρών ή ημερών από τη δημόσια ανακοίνωσή τους.
«Το APT40 έχει στο παρελθόν στοχεύσει οργανισμούς σε διάφορες χώρες, συμπεριλαμβανομένων της Αυστραλίας και των Ηνωμένων Πολιτειών», ανέφεραν οι υπηρεσίες. «Ιδιαίτερα, το APT40 διαθέτει την ικανότητα να μετασχηματίζει και να προσαρμόζει γρήγορα τα proof-of-concept (PoC) ευπάθειας για επιχειρήσεις στόχευσης, αναγνώρισης και εκμετάλλευσης».
Διαβάστε περισσότερα: Γιατί το Temu θεωρείται “επικίνδυνο κακόβουλο λογισμικό (malware)”;
Η hacking συμμορία, γνωστή και ως Bronze Mohawk, Gingham Typhoon (πρώην Gadolinium), ISLANDDREAMS, Kryptonite Panda, Leviathan, Red Ladon, TA423 και TEMP.Periscope, είναι ενεργή από τουλάχιστον το 2013, διεξάγοντας επιθέσεις στον κυβερνοχώρο στην περιοχή Ασίας-Ειρηνικού. Η ομάδα εκτιμάται ότι εδρεύει στο Χαϊκού.
Τον Ιούλιο του 2021, οι ΗΠΑ και οι σύμμαχοί τους επίσημα κατηγόρησαν το Υπουργείο Κρατικής Ασφάλειας της Κίνας (MSS) για την εποπτεία μίας ομάδας hacking. Αρκετά μέλη της ομάδας αυτής κατηγορήθηκαν για την ενορχήστρωση μιας πολυετούς εκστρατείας που στόχευε διάφορους τομείς, με σκοπό την κλοπή εμπορικών μυστικών, πνευματικής ιδιοκτησίας και πολύτιμων πληροφοριών.
Τα τελευταία χρόνια, η ομάδα APT40 έχει συνδεθεί με κύματα επιθέσεων που χρησιμοποιούν το πλαίσιο αναγνώρισης ScanBox, καθώς και με την εκμετάλλευση ενός ελαττώματος ασφαλείας στο WinRAR (CVE-2023-38831, με βαθμολογία CVSS: 7,8). Αυτές οι ενέργειες αποτελούν μέρος μιας καμπάνιας phishing που στοχεύει την Παπούα Νέα Γουινέα, με σκοπό την παράδοση μιας κερκόπορτας γνωστής ως BOXRAT.
Αργότερα, τον Μάρτιο του τρέχοντος έτους, η κυβέρνηση της Νέας Ζηλανδίας αναγνώρισε τον παράγοντα απειλής στον συμβιβασμό του Γραφείου Κοινοβουλευτικού Συμβούλου και της Κοινοβουλευτικής Υπηρεσίας το 2021.
“Το APT40 ανακαλύπτει νέες ευπάθειες σε ευρέως χρησιμοποιούμενο δημόσιο λογισμικό, όπως το Log4j, το Atlassian Confluence και το Microsoft Exchange, για να στοχεύσει ευάλωτες υποδομές,” ανέφεραν οι συντάκτες.
«Η APT40 πραγματοποιεί συστηματικές αναγνωρίσεις σε σημαντικά δίκτυα, συμπεριλαμβανομένων εκείνων στις χώρες των συντακτών, αναζητώντας ευκαιρίες για να θέσει σε κίνδυνο τους στόχους της. Αυτή η τακτική αναγνώριση επιτρέπει στην ομάδα να εντοπίζει ευάλωτες συσκευές, συσκευές που βρίσκονται στο τέλος της ζωής τους ή που δεν συντηρούνται πια, και να εκμεταλλεύεται γρήγορα αυτές τις ευπάθειες.»
Δείτε επίσης: Neiman Marcus: Παραβίαση δεδομένων εκθέτει 31 εκατ. διευθύνσεις email
Αξιοσημείωτη μεταξύ των τεχνικών που χρησιμοποιεί το κρατικά χρηματοδοτούμενο hacking πλήρωμα είναι η ανάπτυξη web shells για την επιμονή και τη διατήρηση της πρόσβασης στο περιβάλλον του θύματος, καθώς και η χρήση αυστραλιανών ιστοτόπων για σκοπούς εντολών και ελέγχου (C2).
Έχει επίσης παρατηρηθεί ότι ενσωματώνει μη ενημερωμένες ή μη επιδιορθωμένες συσκευές, όπως routers small-office/home-office (SOHO), ως μέρος της υποδομής επίθεσης. Αυτό γίνεται σε μια προσπάθεια αναδρομολόγησης κακόβουλης κυκλοφορίας και αποφυγής ανίχνευσης. Η λειτουργία του είναι παρόμοια με εκείνη που χρησιμοποιείται από άλλες ομάδες με έδρα την Κίνα, όπως η Volt Typhoon.
Σύμφωνα με την Mandiant, τη θυγατρική της Google, αυτό είναι μέρος μιας ευρύτερης μετάβασης στην κυβερνοκατασκοπεία που προέρχεται από την Κίνα, η οποία σκοπεύει να φέρει τη μυστικότητα στο προσκήνιο.Οι επιτιθέμενοι όλο και περισσότερο στρατολογούν προηγμένες συσκευές δικτύου, λειτουργικούς αναμεταδότες (ORB) και τεχνικές LotL (Living off the Land) για να δρουν απαρατήρητοι.
Οι αλυσίδες επίθεσης περιλαμβάνουν επίσης δραστηριότητες αναγνώρισης, κλιμάκωσης προνομίων και πλευρικών κινήσεων. Χρησιμοποιούν το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP) για να κλέψουν διαπιστευτήρια και να εξαγάγουν κρίσιμες πληροφορίες.
Διαβάστε ακόμη: Διαρροή 200 εκατομμυρίων δεδομένων Twitter στο Διαδίκτυο
Για να μετριάσουν τους κινδύνους από τέτοιες απειλές, οι οργανισμοί πρέπει να διατηρούν επαρκείς μηχανισμούς καταγραφής, να εφαρμόζουν έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), να υιοθετούν ένα ισχυρό σύστημα διαχείρισης ενημερώσεων κώδικα, να αντικαθιστούν εξοπλισμό στο τέλος του κύκλου ζωής τους, να απενεργοποιούν αχρησιμοποίητες υπηρεσίες, θύρες και πρωτόκολλα, και να τμηματοποιούν τα δίκτυα ώστε να αποτρέπουν την πρόσβαση σε ευαίσθητα δεδομένα.
Πηγή: thehackernews
