Chinesisches APT41 hat Netzwerke der US-Regierung über die USAHerds-App verletzt
Sicherheitsforscher von Mandiant Security haben kürzlich einen Bericht veröffentlicht, in dem sie ihre Erkenntnisse zu den jüngsten Aktivitäten von APT41 detailliert beschreiben – einer Cyberkriminalitätsorganisation, von der angenommen wird, dass sie vom chinesischen Staat unterstützt wird. Laut Mandiant gelang es APT41, eine Kombination aus Log4j-Angriffen und Zero-Day-Schwachstellen zu verwenden, um mehrere Netzwerke der US-Regierung zu kompromittieren.
Zero-Days und Log4j zusammen verwendet
Die fraglichen Zero-Day-Schwachstellen befinden sich in einer Anwendung namens USAHerds. Es ist ein Tool, das von Viehzüchtern in den USA als "Tiergesundheitsinformationsmanagementsystem" verwendet wird. Die Anwendung gibt es schon seit einigen Jahren. Allerdings gelang es APT41 erst kürzlich, Sicherheitslücken darin auszunutzen.
Es wird angenommen, dass APT41 eine staatlich geförderte Organisation mit Sitz in China ist, die sich traditionell mit Cyberspionage beschäftigt. Bei diesem jüngsten Angriff entdeckten die Forscher neue Tools, neue Methoden, um der Erkennung zu entgehen, und neue Techniken, die von den Bedrohungsakteuren eingesetzt wurden.
Die Schwachstelle, die für den Zugriff auf US-Netzwerke verwendet wird, wird als CVE-2021-44207 verfolgt. Der Angriff verfolgte einen zweigleisigen Ansatz und nutzte auch die berüchtigte Log4j-Schwachstelle. Die Schwachstelle in USAHerds wurde im November 2021 gepatcht und beruhte auf der Verwendung von fest codierten, statischen Validierungs- und Verschlüsselungsschlüsseln durch die Anwendung, die schließlich die Remote-Code-Ausführung auf dem System ermöglichten.
Die Anwendung teilte diese statischen Schlüssel mit allen installierten Instanzen, anstatt bei jeder Installation eindeutige Schlüssel zu generieren, was laut Forschern ein erhebliches Sicherheitsproblem darstellt.
Mindestens sechs Netzwerke, auf die APT41 zugreift
Es gibt keine Möglichkeit zu wissen, wie APT41 es geschafft hat, an die gemeinsamen Schlüsselwerte zu gelangen, aber sobald sie Zugriff darauf hatten, konnten sie Zugriff auf „jeden Server“ erhalten, auf dem die USAHerds-Anwendung ausgeführt wird. Obwohl bekannt ist, dass sechs US-Regierungsnetzwerke bei dem Angriff kompromittiert wurden, erwartet Mandiant, dass es da draußen noch mehr Opfer gibt, die einfach nicht aufgezeichnet wurden.
APT41 hat es schon seit langem auf in den USA ansässige Unternehmen abgesehen, wobei Angriffe im Zusammenhang mit derselben Gruppe auf das Jahr 2019 zurückgehen. Die Gruppe ist dafür bekannt, scharfsinnig und flink zu sein, wenn es um Ausweichmanöver geht, und fortschrittliche Techniken einzusetzen, um ihre Ziele zu infiltrieren.