Skrevet af Danny Palmer, Senior Reporter
Danny Palmer Senior Reporter
Danny Palmer er seniorreporter hos ZDNet. Baseret i London skriver han om problemer, herunder cybersikkerhed, hacking og malware-trusler.
Fuld bio den 8. marts 2022 | Emne: Sikkerhed Cybersikkerhed: Lad os blive taktiske. Se nu
En produktiv og sandsynlig statsstøttet hackergruppe målrettede gentagne gange adskillige amerikanske delstatsregeringer ved at bruge softwaresårbarheder i webapplikationer og derefter senere scanne for Log4j-sårbarheder få timer efter, at sårbarheden kom frem for at bevare deres adgang.
Cybersikkerhedsforskere hos Mandiant har beskrevet, hvordan APT41, en statssponsoreret cyberspionage- og hackergruppe, der arbejder fra Kina, kompromitterede mindst seks amerikanske regeringsnetværk samt andre organisationer, nogle gange gentagne gange, mellem maj 2021 og februar 2022.
Det amerikanske justitsministerium anklagede APT41-hackere i september 2020, men det ser ikke ud til at have haft indflydelse på angrebenes vedvarende karakter.
Ifølge analyse af angrebene kom mange af de indledende kompromiser i juni 2021 via målretning mod usikre webapplikationer.
SE: Cybersikkerhed: Lad os blive taktiske (ZDNet-særrapport)
Så i december 2021 blev en nul-dages sårbarhed i det udbredte Java-logningsbibliotek Apache Log4j afsløret, og forskerne hos Mandiant siger, at APT41 begyndte at udnytte Log4j-sårbarheden næsten øjeblikkeligt.
“Inden for få timer efter meddelelsen , APT41 begyndte at udnytte sårbarheden til senere at kompromittere mindst to amerikanske delstatsregeringer såvel som deres mere traditionelle mål inden for forsikrings- og telekommunikationsindustrien,” sagde Mandiant.
Mens en patch blev frigivet, da sårbarheden blev afsløret, betyder den allestedsnærværende karakter af Log4j, at mange organisationer ikke vidste, at det var en del af deres teknologiske infrastruktur.
Uanset hvilken sårbarhed der blev brugt, når først de var inde i netværkene , APT41 skræddersyede malware til ofrets miljø for at gøre angrebene så effektive som muligt. Da der dukkede en ny sårbarhed op, som kunne udnyttes, opgav angriberne ikke deres tidligere kompromis, men udnyttede snarere den nye sårbarhed til at opnå yderligere vedholdenhed på netværket.
Mens fokus for kampagnen var omkring kompromittering af amerikanske regeringsnetværk, var APT41-angreb også rettet mod andre industrier, herunder forsikring og telekommunikation.
Det er stadig usikkert, hvad de overordnede mål med denne særlige APT41-kampagne er, fordi disse hackere også ofte boltrer sig i måneskin for deres egen personlige vindings skyld.
“APT41s seneste aktivitet mod amerikanske delstatsregeringer består af betydelige nye muligheder, fra nye angrebsvektorer til post-kompromisværktøjer og teknikker. APT41 kan hurtigt tilpasse deres indledende adgangsteknikker ved at rekompromittere et miljø gennem en anden vektor eller ved hurtigt at operationalisere en frisk sårbarhed,” hedder det i rapporten.
Denne seneste kampagne er endnu en påmindelse om, at systemer på statsniveau i USA er under pres fra nationalstatsaktører som Kina, såvel som Rusland, sagde Geoff Ackerman, hovedtrusselsanalytiker hos Mandiant.
“En præference for at bruge webudnyttelse til at målrette mod offentlige webapplikationer sammen med evnen til hurtigt at skifte mål baseret på tilgængelige funktioner indikerer, at APT41 fortsat udgør en betydelig trussel mod offentlige og private organisationer rundt om i verden,” tilføjede han.
Statsstøttede hackergrupper såvel som cyberkriminelle er hurtige til at udnytte uoprettede sårbarheder. En af de vigtigste ting, som organisationer kan gøre i et forsøg på at undgå at blive ofre for angreb, der udnytter softwaresårbarheder, er at anvende eventuelle patches eller sikkerhedsopdateringer så hurtigt som muligt.
MERE OM CYBERSIKKERHED
Google køber cybersikkerhedsvirksomheden Mandiant for 5,4 milliarder USDDisse gamle sikkerhedssårbarheder skaber nye muligheder for hackere Hvordan hackere misbruger værktøjer, du stoler på, til at snoge rundt på dit netværkSoftwareudvikling ignorerer stadig sikkerhed. Det skal ændres hurtigtSkysikkerhed i 2022: En virksomhedsguide til vigtige værktøjer og bedste praksis Security TV | Datastyring | CXO | Datacentre