Hakeri koje podržava Kina upali su u vladine mreže u najmanje šest američkih država, tvrdi novi izveštaj
APT41 grupa je takođe iskoristila ranjivost Log4Shell, ozbiljnu i široko rasprostranjenu grešku u Java Log4j biblioteci o kojoj je Telegraf.rs pisao prošle godine
Tehnički napredna hakerska grupa koju podržava kineska vlada ugrozila je kompjuterske sisteme najmanje šest američkih državnih vlada, navodi se u nedavno objavljenom izveštaju o pretnjama kompanije za sajber bezbednost Mandiant.
Grupa, koju Mandiant naziva APT41, ciljala je državne vlade u SAD-u između maja 2021. i februara 2022. godine, navodi se u izveštaju, prenosi The Verge.
Tamo gde su mreže probijene, Mandiant je pronašao dokaze o eksfiltraciji ličnih identifikacionih informacija “u skladu sa špijunažnom operacijom”, iako je kompanija rekla da u ovom trenutku ne može da tvrdi koje su tačno bile namere ove hakerske grupe.
Sve u svemu, Mandiant-ovo istraživanje daje sliku snažnog protivnika koji se stalno prilagođava.
Mandiant ima istoriju otkrivanja ozbiljnih pretnji po sajber bezbednosti SAD-a, poput hakovanja SolarWinds-a, iza kojeg se veruje da stoji ruska vlada.
Kompanija je takođe nedavno kupljena od strane Google-a u dogovoru koji je objavljen uporedo sa objavljivanjem izveštaja.
Prema Mandiant-ovom istraživanju, grupa APT41 je uspela da probije vladine mreže iskorišćavanjem ranjivosti u aplikacijama napravljenim pomoću Microsoft-ove .NET platforme, uključujući jednu ranije nepoznatu ranjivost u sistemu baze podataka za izveštavanje o zdravlju životinja USAHERDS.
Prvo razvijen za Ministarstvo poljoprivrede Pensilvanije, USAHERDS sistem je reklamiran kao model za poboljšanje sledljivosti bolesti kod stoke, a zatim su ga usvojile druge države.
Ali previd prilikom kodiranja baze doveo je do toga da su ključevi za šifrovanje koji su odobravali određene operacije u aplikaciji “tvrdo kodirani” – što znači da su bili isti u svim instancama USAHERDS-a, a kompromitovanje samo jedne instalacije bi omogućilo hakeru da izvrši sopstveni kod na bilo koji sistem koji pokreće softver.
Pored kompromitovanja aplikacija zasnovanih na .NET-u, APT41 grupa je takođe iskoristila ranjivost Log4Shell, ozbiljnu i široko rasprostranjenu grešku u Java Log4j biblioteci o kojoj je Telegraf.rs pisao prošle godine.
Prema Mandiant-ovoj analizi, APT41 grupa je počela da sprovodi napade koji su iskorišćavali Log4j u roku od samo nekoliko sati od objavljivanja detalja o ranjivosti i koristila je ranjivost za instaliranje backdoor-a u Linux sisteme koji bi im omogućili stalni pristup kasnije.
Sve ovo ukazuje na sofisticiranost i prikrivenost grupe APT41, karakteristike koje su obeležje njenog rada od kada je prvi put otkrivena.
Pojedini članovi ove grupe već se nalaze na FBI-jevoj listi najtraženijih sajber kriminalaca.
Dok je poznato da APT41 sprovodi finansijski kriminal kao i špijunske operacije, istraživači Mandiant-a veruju da je u ovom slučaju cilj bio špijunaža.
(Telegraf.rs)