APT40 brzo iskorištava ranjivosti
APT40 je napredna trajna prijetnja (eng. Advanced persistent threat – APT) specijalizovana za sajber špijunažu koja je identifikovana zbog brzog prilagođavanja koncepta dokaza o ranjivosti (eng. proofs of concept – POC) u svojim operacijama. Grupa cilja organizacije širom sveta iskorišćavanjem novih ranjivosti koje se nalaze u široko korištenom javnom softveru kao što su Log4j, Atlassian Confluence i Microsoft Exchange.
APT40
APT40, takođe poznat kao Kryptonite Panda, Gingham Typhoon, Leviathan i Bronze Mohawk, je visoko kvalifikovana grupa za sajber špijunažu koja cilja organizacije u različitim zemljama od najmanje 2011. godine. Ova sofisticirana grupa zlonamjernih aktera stekla je slavu zbog svoje sposobnosti da brzo prilagođava koncepte dokaza o ranjivosti (POC) za operacije eksploatacije ciljane infrastrukture.
Navedena APT40 sposobnost da brzo transformiše i prilagođava koncepta dokaza o ranjivosti (POC), čini ih značajnom prijetnjom organizacijama širom sveta. Oni su demonstrirali ovu sposobnost identifikovanjem novih ranjivosti u široko korištenom javnom softveru kao što su Log4J, Atlassian Confluence i Microsoft Exchange, kao i kod starijih uređaja koje proizvođači više ne podržavaju. Ciljanjem povezane infrastrukture ovih poznatih ranjivosti, APT40 može dobiti neovlašteni pristup ciljanim mrežama i sistemima.
Aktivnosti grupe su posmatrane u više industrija, uključujući vladine organizacije, privatna preduzeća i univerzitete. Njihovi primarni ciljevi uključuju eksfiltraciju podataka, krađu intelektualne svojine i špijunažu. Posljedice ovih napada mogu biti ozbiljne, jer neki sistemi možda nisu ažurirani za ranjivosti identifikovane pre mnogo godina.
“Primjetno, APT40 posjeduje sposobnost da brzo transformiše i prilagodi iskorištavanje koncepta dokaza o ranjivosti (POC) novih ranjivosti i odmah ih koristi protiv ciljnih mreža koje posjeduju infrastrukturu povezane ranjivosti. APT40 redovno vrši izviđanje interesnih mreža, uključujući mreže u zemljama autorskih agencija, tražeći mogućnosti da ugrozi svoje ciljeve.”
Otkrivanje
Aktivnosti grupe izašle su na vidjelo kada ih je Ministarstvo pravde SAD optužilo u julu 2021. godine za hakovanje vladinih organizacija, privatnih preduzeća i univerziteta između 2011. godine i 2018. godine. Informacije o APT40 je proširio Australijski centar za sajber bezbjednost (eng. Australia Cyber Security Centre – ACSC), koji je saznao za napad na lokalnu organizaciju 2022. godine. On je obezbijedio dozvolu napadnute organizacije da postavi senzore zasnovane na hostu na njihovoj mreži kako bi prikupio obavještajne podatke i mapirao operacije APT40 grupe.
Informacije prikupljene od ovih senzora dale su jezivu sliku protivnika koji je posjedovao napredne mogućnosti u iskorištavanju softverskih ranjivosti. U savjetu koji je izdao ACSC upozorava se da APT40 posjeduje sposobnost da brzo transformiše i prilagodi eksploataciju koncepta dokaza o ranjivosti (POC) novih ranjivosti i odmah ih koristi protiv ciljnih mreža sa povezanom infrastrukturom.
Fokus
Fokus grupe na široko korišteni javni softver je namjerna strategija. Odabirom ciljeva koji su uobičajeni u mnogim organizacijama, APT40 povećava potencijalni uticaj svojih napada dok smanjuje resurse potrebne za identifikaciju i iskorištavanje svake ranjivosti. Ovaj pristup se pokazao uspješnim za njih u prošlosti, o čemu svjedoči njihovo ciljanje na Log4J, Atlassian Confluence i Microsoft Exchange – sve softverske aplikacije koje se široko koriste u industrijama i sektorima.
Aktivnosti APT40 grupe se protežu dalje od jednostavnog iskorišćavanja poznatih ranjivosti. Ona se takođe angažuje u redovnom izviđanju da bi identifikovala ne ažurirane mete. Praćenjem mreža od interesa za ranjive uređaje ili zastareli softver, grupa se pozicionira da udari kada se ukaže prilika. Ova strategija ih je dovela do ciljanih sistema koji nisu otklonili ranjivosti identifikovane još 2017. godine – činjenica koja naglašava važnost blagovremenog ažuriranja i održavanja ažuriranih bezbjednosnih mjera.
Brza adaptacija
Sposobnost APT40 grupe da brzo prilagođava eksploatacije ih izdvaja od drugih grupa zlonamjernih aktera. Poznate su po svom brzom vremenu reagovanja, često iskorištavajući nove ranjivosti u roku od nekoliko dana ili čak sati od njihovog javnog otkrivanja. Ova sposobnost omogućava grupi da održi konkurentnost u okruženju zlonamjernih prijetnji i poveća svoje šanse za uspeh.
Tehnike APT40 grupe uključuju nekoliko faza: izviđanje, naoružanje, isporuka, komandovanje i kontrola i eksfiltracija. Tokom faze izviđanja, oni prikupljaju obavještajne podatke o potencijalnim ciljevima tako što prate mrežna okruženja u potrazi za ranjivostima i ne ažuriranim softverom. Kada je meta identifikovana, APT40 prelazi u fazu naoružavanja, gdje razvija prilagođene eksploatacije prilagođene specifičnoj ranjivosti.
Faza isporuke uključuje kompromitovanje sistema mete putem različitih sredstava kao što su spear-phishing preko elektronske poruke ili napadi društvenog inžinjeringa. Faza komandovanja i kontrole omogućava grupi da održava postojanost na zaraženim sistemima i izdaje komande, često za eksfiltraciju podataka ili dalje aktivnosti izviđanja.
ZAKLJUČAK
APT40 je sofisticirana kineska grupa za napredne trajne prijetnje (APT) koju sponzoriše država. Oni su aktivno ciljali na različite organizacije u različitim industrijama, uključujući vladine agencije, istraživačke institucije i kompanije iz privatnog sektora, prvenstveno u Australiji, ali i u drugim zemljama kao što su Sjedinjene Američke Države.
Taktike, tehnike i procedure grupe (TTP) uključuju iskorištavanje ranjivosti u roku od nekoliko sati ili dana od njihovog javnog otkrivanja. Poznato je da ciljaju na ne ažurirane sisteme, posebno na starije uređaje koje proizvođači više ne podržavaju. APT40 je takođe sposoban da koristi višestepene napade, krećući se bočno kroz mreže kada dobiju početni pristup i eksfiltrirajući velike količine podataka iz kompromitovanih sistema.
Aktivnosti APT40 predstavljaju značajnu prijetnju organizacijama zbog njihove sposobnosti da brzo prilagode koncepte dokaza o ranjivosti (POC) za operacije ciljanja, izviđanja i eksploatacije. Oni koriste različite tehnika kao što su spear–phishing elektronske poruke sa zlonamjernim prilozima ili vezama, napadi na internet lokacije koje posjećuju ciljani pojedinci i iskorišćavanje poznatih softverskih ranjivosti da bi dobili početni pristup mrežama.
Aktivnosti grupe često karakteriše njihova skrivena priroda, što otežava organizacijama da ih otkriju dok se ne napravi značajna šteta. Takođe su primijećeni da koriste prilagođene alata za zlonamjerni softver koji su prilagođeni određenim ciljevima ili okruženjima. Pored toga, poznato je da APT40 koristi legitimne alate i tehnike u svojim napadima, zbog čega bezbjednosni timovi često ne mogu da naprave razliku između zlonamjerne aktivnosti i normalnog mrežnog saobraćaja.
ZAŠTITA
Evo nekoliko preporuka koje mogu pomoći organizacijama da se zaštite od prijetnji koje predstavlja APT40:
- Održavati adekvatne mehanizme evidentiranja, jer pomažu u otkrivanju i reagovanju na sajber napade na vreme. Organizacije treba da osiguraju da imaju odgovarajuće mehanizme evidentiranja za sve svoje sisteme i aplikacije. Ovo će pomoći da se identifikuju bilo koje neuobičajene aktivnosti ili pokušaji neovlaštenog pristupa, što može ukazivati na APT40 napad,
- Izvršiti primjenu autentifikacije u više koraka (eng. multi-factor authentication – MFA), jer dodaje dodatni sloj bezbjednosti korisničkim nalozima zahvaljujući od korisnika da obezbijede dva ili više oblika identifikacije pre nego što mogu da dobiju pristup sistemu ili aplikaciji. To napadačima otežava neovlašteni pristup, čak i ako uspiju da ukradu lozinku,
- Implementirati robustan sistem za upravljanje ažuriranjima, jer je poznato je da APT40 iskorišćava ranjivosti popularnog softvera. Organizacije treba da osiguraju da su svi njihovi sistemi i aplikacije ažurirani sa najnovijim ispravkama i bezbjednosnim ažuriranjima. Ovo pomoći da se zaštite od svih poznatih ranjivosti koje bi APT40 ili drugi zlonamjerni akteri mogli da iskoriste,
- Zamijeniti proizvode koje proizvođači više ne podržavaju, a to odnosi se na hardver i softver, što znači da neće primati nikakva bezbjednosna ažuriranja ili ispravke. Organizacije bi trebalo da zamjene takvu opremu novijim verzijama koje su još uvijek podržane, jer će biti bezbjednije i manje ranjive na napade,
- Onemogućiti usluge koje se ne koriste, kao i portove i protokole. Poznato je da APT40 koristi određene usluge, portove i protokole u svrhe komandovanja i kontrole (C2). Organizacije bi trebalo da onemoguće sve nekorišćene ili nepotrebne usluge, portove i protokole na svojim sistemima kako bi smanjile površinu napada i otežale napadačima da steknu uporište u svojim mrežnim okruženjima,
- Koristiti segmentaciju mreže, jer ona uključuje podjelu mreže na manje podmreže, od kojih svaka ima sopstvene bezbjednosne kontrole. Ovo pomaže u sprečavanju neovlaštenog pristupa osjetljivim podacima ograničavanjem širenja napada unutar mreže. Organizacije treba da obezbijede da imaju odgovarajuću segmentaciju mreže i da se njihovi najosjetljiviji podaci čuvaju na odvojenim mrežama ili podmrežama sa jakim mjerama kontrole pristupa,
- Koristiti zaštitne zidove za mrežne aplikacije (eng. web application firewalls – WAF), jer oni pomažu u zaštiti od napada usmjerenih na mrežne aplikacije, kao što su SQL injekcija, skriptovanje na više lokacija (eng. cross-site scripting – XSS) i druge vrste napada za koje je poznato da APT40 koristi. Organizacije treba da osiguraju da imaju odgovarajuća WAF rješenja za sve svoje mrežne aplikacije,
- Implementirati pristup sa najmanjim privilegijama, jer to znači davanje korisnicima minimalnog nivoa pristupa neophodnog za obavljanje njihovih radnih funkcija. Ovo pomaže u smanjenju rizika od unutrašnjih prijetnji i otežava napadačima, čak i ako uspiju da dobiju pristup sistemu ili aplikaciji, da se kreću bočno unutar mreže i uzrokuju štetu,
- Potrebno je biti informisan o novim prijetnjama, jer je poznato da APT40 brzo usvaja iskorišćavanje ranjivosti popularnog softvera. Organizacije treba da budu informisane o svim novim prijetnjama ili ranjivostima koje bi APT40 ili drugi zlonamjerni akteri mogli da iskoriste i da preduzmu odgovarajuće mjere da se zaštite,
- Organizacije treba da primjene sveobuhvatnu bezbjednosnu politiku koja pokriva sve aspekte njihove IT infrastrukture, od hardvera i softvera do pristupa korisnika i zaštite podataka. Ovo će pomoći da se osigura da su dobro pripremljeni da se nose sa svim sajber prijetnjama, uključujući i one koje predstavljaju APT40 ili druge grupe naprednih trajnih prijetnji (APT).