Grupo chino de piratería APT40 culpado por la Coalición Global de piratear redes gubernamentales
Una coalición de naciones, entre ellas Estados Unidos, Reino Unido, Canadá, Alemania, Japón, Nueva Zelanda y Corea del Sur, se ha unido a Australia para culpar al grupo de piratería informática patrocinado por el Estado chino APT40 de infiltrarse en las redes gubernamentales. Este acontecimiento se produce tras las sanciones de marzo de 2024 contra los miembros de APT31 , lo que pone de relieve la amenaza persistente que plantean los actores chinos de amenazas persistentes avanzadas (APT).
Conocido por varios nombres como Bronze Mohawk, Gingham Typhoon, Kryptonite Panda y Leviathan, APT40 ha estado apuntando repetidamente a las redes australianas y a aquellas de la región en general. El aviso de la coalición afirma: "APT40 ha apuntado repetidamente a las redes australianas, así como a las redes gubernamentales y del sector privado en la región, y la amenaza que representan para nuestras redes continúa".
APT40 lleva a cabo operaciones de reconocimiento periódicas, explotando dispositivos antiguos y vulnerables. Son expertos en adoptar rápidamente exploits para nuevas vulnerabilidades, incluidas aquellas en software ampliamente utilizado como Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) y Microsoft Exchange (CVE-2021-31207, CVE-2021). -34523, CVE-2021-34473) . El aviso advierte que se espera que APT40 continúe utilizando exploits de prueba de concepto (PoC) para nuevas vulnerabilidades de alto perfil poco después de su lanzamiento público.
A diferencia de muchos otros actores de amenazas, APT40 prefiere explotar la infraestructura vulnerable orientada a Internet para el acceso inicial en lugar de depender del phishing u otras técnicas basadas en la interacción del usuario. Exfiltran credenciales para operaciones de seguimiento y establecen persistencia en las primeras etapas de la cadena de ataque. Se sabe que el grupo compromete dispositivos heredados de pequeñas oficinas/oficinas en el hogar (SOHO), usándolos como puntos de lanzamiento para ataques posteriores que se mezclan con el tráfico de red legítimo. Esta táctica es compartida por otros actores patrocinados por el Estado chino en todo el mundo, lo que representa una amenaza global.
En un incidente notable, APT40 mantuvo el acceso a la red de una organización australiana entre julio y septiembre de 2022. Establecieron múltiples vectores de acceso, exfiltraron grandes cantidades de datos y se movieron lateralmente dentro de la red. En otro caso, el grupo comprometió el portal de inicio de sesión de acceso remoto de una organización, explotando una falla de ejecución remota de código (RCE) divulgada públicamente para filtrar varios cientos de pares únicos de nombre de usuario y contraseña.
Para mitigar el riesgo de tales ataques, se recomienda a las organizaciones que implementen capacidades integrales de registro, parcheen rápidamente todos los dispositivos con acceso a Internet, implementen la segmentación de la red, deshabiliten los servicios, puertos y protocolos no utilizados, habiliten la autenticación multifactor y reemplacen los equipos heredados. Se insta a los fabricantes de software a adoptar los principios de Secure by Design para mejorar la seguridad de sus productos.
El aviso de la coalición enfatiza la necesidad de que todas las organizaciones revisen estas recomendaciones para identificar, prevenir y remediar las intrusiones de APT40. Al adoptar estas medidas, las organizaciones pueden fortalecer sus defensas contra las técnicas sofisticadas empleadas por APT40 y otros actores de amenazas patrocinados por el estado.