El APT41 chino violó las redes del gobierno de EE. UU. a través de la aplicación USAHerds

Los investigadores de seguridad de Mandiant Security publicaron un informe reciente que detalla sus hallazgos sobre la actividad reciente de APT41, un equipo de ciberdelincuencia que se cree que cuenta con el respaldo del estado chino. Según Mandiant, APT41 logró usar una combinación de ataques Log4j y vulnerabilidades de día cero para comprometer varias redes del gobierno de EE. UU.

Zero-days y Log4j usados juntos

Las vulnerabilidades de día cero en cuestión se encuentran en una aplicación llamada USAHerds. Es una herramienta utilizada por los ganaderos de los EE. UU. como un "sistema de gestión de información sobre salud animal". La aplicación existe desde hace varios años. Sin embargo, fue solo recientemente que APT41 logró abusar de las fallas de seguridad en él.

Se cree que APT41 es un equipo con sede en China patrocinado por el estado que tradicionalmente se dedica al espionaje cibernético. En este último ataque, los investigadores detectaron nuevas herramientas, nuevos métodos para evadir la detección y nuevas técnicas empleadas por el actor de amenazas.

La vulnerabilidad utilizada para acceder a las redes de EE. UU. se rastrea como CVE-2021-44207. El ataque utilizó un enfoque doble, aprovechando también la infame vulnerabilidad Log4j. La vulnerabilidad en USAHerds se corrigió en noviembre de 2021 y se basó en el uso de la aplicación de claves codificadas, de validación estática y de cifrado, lo que finalmente permitió la ejecución remota de código en el sistema.

La aplicación compartió esas claves estáticas en todas las instancias instaladas, en lugar de generar claves únicas en cada instalación, lo cual es un problema de seguridad importante, según los investigadores.

Al menos seis redes accedidas por APT41

No hay forma de saber cómo APT41 logró obtener los valores de clave compartidos, pero una vez que tuvieron acceso a ellos, pudieron acceder a "cualquier servidor" que ejecutara la aplicación USAHerds. Aunque se sabe que seis redes del gobierno de EE. UU. se vieron comprometidas en el ataque, Mandiant espera que haya más víctimas que simplemente no han sido registradas.

APT41 ha estado apuntando a entidades con sede en los EE. UU. durante mucho tiempo, con ataques asociados con el mismo equipo que datan de 2019. El grupo es conocido por ser agudo y ágil cuando se trata de evadir y usar técnicas avanzadas cuando se infiltra en sus objetivos.