Le groupe de piratage chinois APT40 accusé par la Coalition mondiale de pirater les réseaux gouvernementaux
Une coalition de pays, comprenant les États-Unis, le Royaume-Uni, le Canada, l’Allemagne, le Japon, la Nouvelle-Zélande et la Corée du Sud, s’est jointe à l’Australie pour accuser le groupe de piratage informatique parrainé par l’État chinois APT40 d’avoir infiltré les réseaux gouvernementaux. Cette évolution fait suite aux sanctions de mars 2024 contre les membres de l’APT31 , soulignant la menace persistante posée par les acteurs chinois de la menace persistante avancée (APT).
Connu sous divers noms tels que Bronze Mohawk, Gingham Typhoon, Kryptonite Panda et Leviathan, APT40 cible à plusieurs reprises les réseaux australiens et ceux de la région au sens large. L'avis de la coalition indique : « APT40 a ciblé à plusieurs reprises les réseaux australiens ainsi que les réseaux gouvernementaux et du secteur privé dans la région, et la menace qu'ils représentent pour nos réseaux persiste. »
APT40 mène des opérations de reconnaissance régulières, exploitant des appareils anciens et vulnérables. Ils sont capables d'adopter rapidement des exploits pour de nouvelles vulnérabilités, y compris celles de logiciels largement utilisés comme Atlassian Confluence (CVE-2021-26084), Log4J (CVE-2021-44228) et Microsoft Exchange (CVE-2021-31207, CVE-2021). -34523, CVE-2021-34473) . L'avis prévient qu'APT40 devrait continuer à utiliser des exploits de preuve de concept (PoC) pour de nouvelles vulnérabilités très médiatisées peu de temps après leur publication publique.
Contrairement à de nombreux autres acteurs malveillants, APT40 préfère exploiter une infrastructure Internet vulnérable pour l'accès initial plutôt que de s'appuyer sur le phishing ou d'autres techniques basées sur l'interaction des utilisateurs. Ils exfiltrent les informations d’identification pour les opérations de suivi et établissent la persistance dès le début de la chaîne d’attaque. Le groupe est connu pour compromettre les anciens appareils des petits bureaux/bureaux à domicile (SOHO), en les utilisant comme points de lancement pour des attaques ultérieures qui se fondent dans le trafic réseau légitime. Cette tactique est partagée par d’autres acteurs soutenus par l’État chinois dans le monde entier, ce qui constitue une menace mondiale.
Lors d'un incident notable, APT40 a maintenu l'accès au réseau d'une organisation australienne entre juillet et septembre 2022. Ils ont établi plusieurs vecteurs d'accès, exfiltré de grandes quantités de données et se sont déplacés latéralement au sein du réseau. Dans un autre cas, le groupe a compromis le portail de connexion d'accès à distance d'une organisation, en exploitant une faille d'exécution de code à distance (RCE) révélée publiquement pour exfiltrer plusieurs centaines de paires uniques de nom d'utilisateur et de mot de passe.
Pour atténuer le risque de telles attaques, il est conseillé aux organisations de mettre en œuvre des capacités de journalisation complètes, de corriger rapidement tous les appareils accessibles par Internet, de mettre en œuvre une segmentation du réseau, de désactiver les services, ports et protocoles inutilisés, d'activer l'authentification multifacteur et de remplacer les équipements existants. Les fabricants de logiciels sont invités à adopter les principes Secure by Design pour améliorer la sécurité de leurs produits.
L'avis de la coalition souligne la nécessité pour toutes les organisations d'examiner ces recommandations afin d'identifier, de prévenir et de remédier aux intrusions APT40. En adoptant ces mesures, les organisations peuvent renforcer leurs défenses contre les techniques sophistiquées employées par APT40 et d’autres acteurs menaçants parrainés par l’État.