Af Eskil Sørensen, 10/07/24
En ny vejledning fra det australske cybersikkerhedsagentur peger på, hvorfor det er vigtigt at implementere rettelser straks de er blevet udsendt.
Det er konklusionen, efter at agenturet er blevet bekendt med en statssponsoret kinesisk trusselsaktør med navnet APT40, der fokuserer på at udnytte nyopdagede softwaresårbarheder (n-dage), ofte inden for få timer efter offentlig udgivelse.
Dette fremgår af en artikel i Infosecurity Magazine, som har sin historie fra den udsendte vejledning, som er udarbejdet i et samarbejde mellem cybersikkerhedsagenturer fra USA, Storbritannien, Canada, New Zealand, Tyskland, Sydkorea og Japan. I denne fremgår det, at APT40 udnytter sårbar, offentligt vendt infrastruktur frem for at bruge teknikker, der kræver brugerinteraktion og som typisk formidles via phishing-kampagner.
Metoden er, at APT40 regelmæssigt udfører rekognoscering mod målnetværk for at identificere sårbare, udtjente eller ikke længere vedligeholdte enheder på netværk af interesse. Formålet med dette er hurtigt at implementere udnyttelser. Det fremgår, at denne rekognoscering gør gruppen i stand til at udnytte nylige offentligt kendte sårbarheder i udbredt software som Log4j, Atlassian Confluence og Microsoft Exchange inden for få dage eller endda timer efter offentlig udgivelse. Altså når der er tale om en såkaldt n-dag; n-dag refererer til perioden mellem en sårbarheden afsløres til berørte systemer er patchet. At det hedder n-dag er et udtryk for, at det er vilkårligt, hvornår sårbarhederne er rettet.
I vejledningen fremhæves det bemærkelsesværdige i, at APT40 har evnen til hurtigt at transformere og tilpasse udnyttelse af proof-of-concept(s) (POC'er) af nye sårbarheder og ”øjeblikkeligt” bruge dem mod netværk, der har infrastrukturen for den tilknyttede sårbarhed. Tilsyneladende er det ikke kun nyopdagede sårbarheder, men også gamle sårbarheder, hvor der nævnes sårbarheder fra 2017 som værende udnyttet af APT40.
Når først APT40 er inde i et netværk, har APT40 specialiseret sig i unddragelses- og persistensteknikker til at eksfiltrere følsomme data på vegne af Kinas ministerium for statssikkerhed, vurderes det agenturerne.
I vejledningen oplyses det yderligere, at APT40 også har omfavnet det, der kaldes en global trend med at udnytte kompromitterede enheder, herunder small-office/home-office (SOHO), et startpunkt for angreb, der blander sig med legitim trafik. Det skulle sløre ondsindet aktivitet.
Denne teknik bliver også regelmæssigt brugt af andre statssponsorerede aktører i Kina, og for APT40s vedkommende repræsenterer dette en udvikling i APT40's metoder. Tidligere var gruppen kendt for at bruge kompromitterede australske websteder som command-and-controlservere til sine operationer.
Links:
https://www.infosecurity-magazine.com/news/chinese-state-exploits/