En teknisk avanceret hackergruppe støttet af den kinesiske regering har kompromitteret computersystemerne i mindst seks amerikanske delstatsregeringer, ifølge en nyligt offentliggjort trusselsrapport fra cybersikkerhedsfirmaet Mandiant.
Gruppen, som Mandiant refererer til som APT41, var målrettet mod statslige regeringer i USA mellem maj 2021 og februar 2022, ifølge rapporten. Hvor netværk blev brudt, fandt Mandiant beviser på udslip af personligt identificerende oplysninger “i overensstemmelse med en spionageoperation”, selvom virksomheden sagde, at det ikke kunne foretage en endelig vurdering af hensigten på nuværende tidspunkt.
Alt i alt tegner Mandiants forskning et billede af en formidabel modstander, der konstant tilpasser sig.
“APT41s seneste aktivitet mod amerikanske statsregeringer består af betydelige nye kapaciteter, fra nye angrebsvektorer til post-kompromisværktøjer og teknikker,” lyder rapporten. “APT41 kan hurtigt tilpasse deres indledende adgangsteknikker ved at kompromittere et miljø igen gennem en anden vektor eller ved hurtigt at operationalisere en ny sårbarhed. Gruppen viser også en vilje til at ombygge og implementere kapaciteter gennem nye angrebsvektorer i modsætning til at holde fast i dem til fremtidig brug.”
“APT41s seneste aktivitet mod amerikanske delstatsregeringer består af betydelige nye kapaciteter”
Mandiant har en historie med at afsløre alvorlige cybersikkerhedstrusler, herunder statssponsorerede angreb som SolarWinds-hacket, der blev monteret mod store amerikanske regeringsagenturer af hackere, som menes at blive bakket op af den russiske regering. Virksomheden blev også for nylig opkøbt af Google i en aftale, der blev annonceret sammen med udgivelsen af rapporten.
Ifølge Mandiants forskning var APT41-gruppen i stand til at bryde regeringens netværk ved at udnytte sårbarheder i applikationer bygget med Microsofts .NET-udviklerplatform, inklusive en hidtil ukendt sårbarhed i dyresundhedsrapporteringsdatabasesystemet USAHERDS.
USAHERDS blev først udviklet til Pennsylvania Department of Agriculture og blev udråbt som en model til forbedring af sygdomssporbarhed hos husdyr og blev efterfølgende vedtaget af andre stater. Men en kodningsforglemmelse førte til, at krypteringsnøglerne, der godkendte visse operationer i applikationen, blev “hard-coded” – hvilket betyder, at det var det samme på tværs af alle forekomster af USAHERDS, og at kompromittere kun én installation ville give en hacker mulighed for at udføre deres egen kode på ethvert system, der kører softwaren.
Rufus Brown, en senior trusselsanalytiker hos Mandiant, fortalte The Verge, at bruddets fulde omfang kunne omfatte flere mål end de seks, der i øjeblikket er kendt.
“Vi siger 'mindst seks stater', fordi der sandsynligvis er flere stater berørt, baseret på vores forskning, analyser og kommunikation med retshåndhævelsen,” sagde Brown. “Vi ved, at der er 18 stater, der bruger USAHERDS, så vi vurderer, at dette sandsynligvis er en bredere kampagne end de seks stater, hvor vi har bekræftelse.”
En e-mail sendt til Acclaim Systems, udviklerne af USAHERDS, havde ikke modtaget et svar på tidspunktet for offentliggørelsen.
“Vi siger 'mindst seks stater', fordi der sandsynligvis er flere stater berørt, baseret på vores forskning, analyser og kommunikation med retshåndhævelse”
Udover kompromiset med .NET-baserede applikationer, APT41 også udnyttede Log4Shell-sårbarheden, en alvorlig og udbredt fejl i Java Log4j-biblioteket, der blev offentliggjort i december 2021. Ifølge Mandiants analyse begyndte APT41 at montere angreb, der udnyttede Log4j inden for få timer efter, at detaljer om sårbarheden blev offentliggjort og brugte sårbarheden at installere bagdøre i Linux-systemer, der ville give dem løbende adgang på et senere tidspunkt.
Alt dette peger mod APT41-gruppens sofistikerede og skjulte karakter, egenskaber, der har været et kendetegn for dens drift, siden den først blev opdaget.
I cybersikkerhedssprog gives “APT”-betegnelser til Advanced Persistent Threats – det mest sofistikerede niveau af trusselsaktør og en, der typisk enten er direkte ansat af en national regering (f.eks. den berygtede Sandworm-gruppe, der menes at være en enhed af Ruslands GRU militær efterretningstjeneste) eller en elite hackergruppe, der opererer med statsstøtte.
Aktiviteterne i APT41 blev først detaljeret i dybden i en rapport fra cybersikkerhedsfirmaet FireEye, som gav hackergruppen tilnavnet “Double Dragon” for dets dobbelte fokus på spionage og finansiel cyberkriminalitet. FireEye-rapporten skitserer blandt andet en historie med forsyningskædeangreb mod softwareudviklere, der går så langt tilbage som 2014; i nogle dokumenterede tilfælde var APT41-hackere endda i stand til at injicere ondsindet kode i videospilfiler, der blev solgt til brugere af legitime spildistributører.
“Denne ting vil ikke ende, før folkene bag det er anholdt”
Hackinggruppens handlinger gjorde de amerikanske myndigheder opmærksomme på det, og justitsministeriet udstedte anklager mod fem medlemmer af APT41 i 2019 og 2020, hvilket gav dem en plads på FBI's liste over mest eftersøgte cyber som et resultat.
Mens APT41 har været kendt for at udføre økonomisk kriminalitet såvel som spionageoperationer, mener Mandiant-forskere, at i dette tilfælde er målet det sidste.
< p id="4nRRNB">“Dette er ret i overensstemmelse med en efterretningsoperation, sandsynligvis spionage,” fortalte Brown til The Verge. “Hvad end de leder efter her, er virkelig vigtigt, og det ser ud til, at de vil fortsætte med at gå efter det … I sidste ende vil det her ikke ende, før folkene bag det er anholdt.”< /p>
FBI reagerede ikke på en anmodning om kommentar.