Figyelmeztetés a Kínához kötődő APT40- nel kapcsolatban

Nyolc különböző ország kiberbiztonsági szervei közösen adtak ki figyelmeztetést az APT40-ről, egy Kínához kötődő kiberkémkedő csoportról, amely arról ismert, hogy gyorsan kihasználja az újonnan felfedett biztonsági réseket. A legalább 2013 óta aktív, feltételezhetően Haikou-ban székelő csoport a kínai állambiztonsági minisztériumhoz (MSS) kapcsolódik, és tagjai korábban már több ország, köztük Ausztrália és az Egyesült Államok szervezeteit is célba vették. Az APT40 arról ismert, hogy gyorsan kihasználja a nyilvánosságra került sérülékenységeket (1-day) a különböző típusú kiberműveletekhez, a felderítéstől a kizsákmányolásig. Az APT40 jellemzően az ázsiai-csendes-óceáni térségbeli szervezetek ellen irányuló támadásokat hajtott végre, mely támadások egyike volt egy ScanBox felderítő keretrendszert szállító behatolási hullám és egy Pápua Új-Guineát célzó adathalászkampány is, amely a WinRAR biztonsági hibáját használta ki.

Az APT40 tevékenységét az Egyesült Államok és szövetségesei közvetlenül az MSS-nek tulajdonítják, és a csoport több tagját megvádolták a szellemi tulajdon ellopására és különböző ágazatokból történő adatkiáramlásra irányuló többéves kampányok végrehajtása miatt. Ez a csoport gyakran végez felderítést a célhálózatok ellen, beleértve a figyelmeztetést kiadó országaiban található hálózatokat is, és gyorsan telepítenek exploitokat e hálózatok sebezhető, elavult vagy karbantartatlan eszközeire. Az APT40 emellett webhéjakat (web shell) használ az áldozatok környezetéhez való tartós hozzáférés fenntartására, ausztrál weboldalakat használ Command and Controll (C2) célokra, és elavult vagy javítatlan eszközöket épít be a támadási infrastruktúrájába, hogy átirányítsa a rosszindulatú forgalmat és elkerülje a felderítést. Ezek a technikák más kínai kibercsoportok által használt technikákat tükröznek.

(forrás)