Globale Koalition beschuldigt chinesische Hackergruppe APT40, Regierungsnetzwerke gehackt zu haben

Eine Koalition von Staaten, darunter die USA, Großbritannien, Kanada, Deutschland, Japan, Neuseeland und Südkorea, hat sich Australien angeschlossen und beschuldigt die vom chinesischen Staat gesponserte Hackergruppe APT40, in Regierungsnetzwerke eingedrungen zu sein. Diese Entwicklung folgt auf die Sanktionen vom März 2024 gegen APT31-Mitglieder und unterstreicht die anhaltende Bedrohung durch chinesische Advanced Persistent Threat (APT)-Akteure.

APT40, bekannt unter verschiedenen Namen wie Bronze Mohawk, Gingham Typhoon, Kryptonite Panda und Leviathan, hat wiederholt australische Netzwerke und Netzwerke in der weiteren Region ins Visier genommen. In der Warnung der Koalition heißt es: „APT40 hat wiederholt australische Netzwerke sowie Regierungs- und private Netzwerke in der Region ins Visier genommen, und die Bedrohung, die sie für unsere Netzwerke darstellen, ist weiterhin vorhanden.“

APT40 führt regelmäßig Aufklärungsoperationen durch und nutzt dabei alte und anfällige Geräte aus. Sie sind geschickt darin, Exploits für neue Schwachstellen schnell zu übernehmen, darunter solche in weit verbreiteter Software wie Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) und Microsoft Exchange (CVE-2021-31207, CVE-2021-34523, CVE-2021-34473) . Der Hinweis warnt, dass APT40 voraussichtlich auch kurz nach der Veröffentlichung neuer, hochkarätiger Schwachstellen weiterhin Proof-of-Concept-Exploits (PoC) verwenden wird.

Anders als viele andere Bedrohungsakteure nutzt APT40 für den ersten Zugriff lieber anfällige, internetbasierte Infrastrukturen aus, als sich auf Phishing oder andere auf Benutzerinteraktion basierende Techniken zu verlassen. Sie exfiltrieren Anmeldeinformationen für Folgeoperationen und etablieren sich schon früh in der Angriffskette. Die Gruppe ist dafür bekannt, ältere Geräte in kleinen Büros/Heimbüros (SOHO) zu kompromittieren und sie als Startpunkte für nachfolgende Angriffe zu verwenden, die sich in den legitimen Netzwerkverkehr einfügen. Diese Taktik wird von anderen staatlich geförderten chinesischen Akteuren weltweit angewendet und stellt eine globale Bedrohung dar.

In einem bemerkenswerten Vorfall behielt APT40 zwischen Juli und September 2022 den Zugriff auf das Netzwerk einer australischen Organisation. Sie richteten mehrere Zugriffsvektoren ein, exfiltrierten große Datenmengen und bewegten sich seitlich innerhalb des Netzwerks. In einem anderen Fall kompromittierte die Gruppe das Remote-Access-Login-Portal einer Organisation und nutzte einen öffentlich bekannt gewordenen Remote Code Execution (RCE)-Fehler aus, um mehrere hundert einzigartige Benutzernamen- und Passwortpaare zu exfiltrieren.

Um das Risiko solcher Angriffe zu verringern, wird Unternehmen empfohlen, umfassende Protokollierungsfunktionen zu implementieren, alle internetfähigen Geräte umgehend zu patchen, eine Netzwerksegmentierung durchzuführen, nicht verwendete Dienste, Ports und Protokolle zu deaktivieren, eine Multi-Faktor-Authentifizierung zu aktivieren und Altgeräte zu ersetzen. Softwarehersteller werden dringend gebeten, Secure by Design-Prinzipien zu übernehmen, um die Sicherheit ihrer Produkte zu verbessern.

Die Empfehlung der Koalition betont, dass alle Organisationen diese Empfehlungen prüfen müssen, um APT40-Angriffe zu identifizieren, zu verhindern und zu beheben. Durch die Umsetzung dieser Maßnahmen können Organisationen ihre Abwehr gegen die ausgeklügelten Techniken von APT40 und anderen staatlich geförderten Bedrohungsakteuren stärken.