In einer kürzlichen beratend In einer von Strafverfolgungsbehörden aus acht Ländern unter der Führung Australiens herausgegebenen Erklärung wurden Bedenken hinsichtlich der hochentwickelten Cyberoperationen von APT40, auch bekannt als Kryptonite Panda und GINGHAM TYPHOON, geäußert. Diese staatlich geförderte Cybergruppe, die angeblich unter der Schirmherrschaft des Ministeriums für Staatssicherheit (MSS) der Volksrepublik China (VRC) operiert, hat durch ihre schnelle Ausnutzung neu entdeckter Schwachstellen Aufmerksamkeit erregt.
Wer ist APT40?
APT40 wird als Superior Persistent Menace (APT)-Gruppe eingestuft, was bedeutet, dass sie langfristige, verdeckte Cyber-Operationen durchführt, die darauf abzielen, Zielnetzwerke zu kompromittieren und unbefugten Zugriff darauf aufrechtzuerhalten. Die Operationen der Gruppe umfassen typischerweise:
- Ausnutzung von Schwachstellen: APT40 ist in der Lage, Exploits für neu entdeckte Schwachstellen (0-days) sowie bekannte Schwachstellen, die in den Zielnetzwerken noch nicht gepatcht sind, schnell zu entwickeln und einzusetzen. Diese Fähigkeit ermöglicht es ihnen, Schwachstellen in Software program und Systemen kurz nach ihrer Entdeckung auszunutzen, oft innerhalb von Stunden.
- Zielauswahl und Aufklärung: Vor dem Begin eines Angriffs führt APT40 umfangreiche Aufklärungsaktivitäten durch, um potenzielle Ziele zu identifizieren und ihre Schwachstellen zu ermitteln. Diese Aufklärungsphase hilft ihnen, ihre Angriffe so anzupassen, dass sie bestimmte Schwachstellen in der Infrastruktur des Ziels ausnutzen.
- Nutzung kompromittierter Infrastruktur: Die Gruppe nutzt häufig kompromittierte Small-Workplace-/House-Workplace-Geräte (SOHO) und andere anfällige Endpunkte als operative Infrastruktur. Durch die Nutzung dieser Geräte kann APT40 seine bösartigen Aktivitäten im legitimen Netzwerkverkehr verbergen, was die Erkennung und Zuordnung erschwert.
Zielgerichtete Taktiken und operative Methoden
Die Warnung beschreibt die Vorgehensweise von APT40, die umfangreiche Aufklärungsaktivitäten umfasst, die darauf abzielen, ungepatchte oder veraltete Geräte in den Zielnetzwerken zu identifizieren und auszunutzen. Indem APT40 kompromittierte Geräte in kleinen Büros/Heimbüros (SOHO) als Betriebsinfrastruktur verwendet, maskiert es seine bösartigen Aktivitäten im legitimen Netzwerkverkehr, was die Erkennung erschwert.
Aufsehenerregende Ziele und ausgenutzte Schwachstellen
Zu den von APT40 angegriffenen Schwachstellen zählen bekannte Probleme wie Log4J (CVE-2021-44228), Atlassian Confluence (CVE-2021-31207, CVE-2021-26084) und verschiedene Schwachstellen in Microsoft Change (CVE-2021-31207, CVE-2021-34523, CVE-2021-34473). Obwohl diese Schwachstellen bereits vor Jahren identifiziert wurden, sind einige Organisationen aufgrund unzureichender Patch-Administration-Praktiken weiterhin anfällig.
Minderungsstrategien und Empfehlungen
Die Empfehlung betont die Bedeutung robuster Web-Sicherheit Maßnahmen zur Abwehr von APT40 und ähnlichen Bedrohungen. Zu den wichtigsten Abwehrstrategien gehören:
- Regelmäßiges Patch-Administration: Sicherstellen der rechtzeitigen Set up von Sicherheitspatches für sämtliche Software program und Geräte.
- Netzwerksegmentierung: Aufteilung der Netzwerke in kleinere Segmente, um die Auswirkungen eines möglichen Verstoßes zu begrenzen.
- Multifaktor-Authentifizierung (MFA): Hinzufügen einer zusätzlichen Sicherheitsebene durch die Anforderung mehrerer Verifizierungsformen.
- Net Utility Firewalls (WAF): Filtern und Überwachen des HTTP-Verkehrs zwischen einer Webanwendung und dem Web.
- Zugriff mit geringsten Berechtigungen: Beschränken Sie die Benutzerberechtigungen auf das für ihre Rolle erforderliche Maß.
- Ersatz von Altgeräten: Aktualisieren oder Ersetzen von Geräten, die nicht mehr durch Sicherheitsupdates unterstützt werden.