In un recente consultivo emesso dalle agenzie di polizia di otto nazioni, guidate dall’Australia, sono state sollevate preoccupazioni circa le sofisticate operazioni informatiche di APT40, noto anche come Kryptonite Panda e GINGHAM TYPHOON. Questo gruppo informatico sponsorizzato dallo stato, che presumibilmente opera sotto gli auspici del Ministero della sicurezza dello Stato (MSS) della Repubblica Popolare Cinese (RPC), ha attirato l’attenzione per il suo rapido sfruttamento di vulnerabilità appena scoperte.
Chi è APT40?
APT40 è classificato come un gruppo Advanced Persistent Threat (APT), il che indica che è impegnato in operazioni informatiche segrete e a lungo termine, volte a compromettere e mantenere l’accesso non autorizzato alle reti mirate. Le operazioni del gruppo in genere comportano:
- Sfruttamento delle vulnerabilità: APT40 è abile nello sviluppo e nell’implementazione rapida di exploit per vulnerabilità appena scoperte (0-day) e vulnerabilità note che rimangono senza patch nelle reti mirate. Questa capacità consente loro di sfruttare le debolezze di software e sistemi subito dopo la loro scoperta, spesso nel giro di poche ore.
- Selezione e ricognizione degli obiettivi: Prima di lanciare un attacco, APT40 conduce ampie attività di ricognizione per identificare potenziali obiettivi e valutarne le vulnerabilità. Questa fase di ricognizione li aiuta a personalizzare i loro attacchi per sfruttare specifiche debolezze all’interno dell’infrastruttura dell’obiettivo.
- Utilizzo di infrastrutture compromesse: Il gruppo utilizza frequentemente dispositivi SOHO (Small-Office/Home-Office) compromessi e altri endpoint vulnerabili come infrastruttura operativa. Sfruttando questi dispositivi, APT40 può oscurare le proprie attività dannose all’interno del traffico di rete legittimo, rendendo difficile il rilevamento e l’attribuzione.
Tattiche mirate e metodi operativi
L’avviso delinea il modus operandi di APT40, che include ampie attività di ricognizione volte a identificare e sfruttare dispositivi non patchati o a fine vita su reti mirate. Utilizzando dispositivi SOHO (small-office/home-office) compromessi come infrastruttura operativa, APT40 maschera le sue attività dannose all’interno del traffico di rete legittimo, rendendo difficile il rilevamento.
Obiettivi di alto profilo e vulnerabilità sfruttate
Tra le vulnerabilità mirate di APT40 si distinguono problemi noti come Log4J (CVE-2021-44228), Atlassian Confluence (CVE-2021-31207, CVE-2021-26084) e varie vulnerabilità in Microsoft Exchange (CVE-2021-31207, CVE-2021-34523, CVE-2021-34473). Nonostante queste vulnerabilità siano state identificate anni fa, alcune organizzazioni continuano a essere vulnerabili a causa di pratiche di gestione delle patch inadeguate.
Strategie e raccomandazioni di mitigazione
L’avviso sottolinea l’importanza di una solida sicurezza informatica misure per difendersi da APT40 e minacce simili. Le principali strategie di mitigazione includono:
- Gestione regolare delle patch: Garantire l’installazione tempestiva delle patch di sicurezza per tutti i software e dispositivi.
- Segmentazione della rete: Suddividere le reti in segmenti più piccoli per limitare l’impatto di una potenziale violazione.
- Autenticazione multifattoriale (MFA): Aggiungere un ulteriore livello di sicurezza richiedendo più forme di verifica.
- Firewall per applicazioni Web (WAF): Filtraggio e monitoraggio del traffico HTTP tra un’applicazione web e Internet.
- Accesso con privilegio minimo: Limitare le autorizzazioni degli utenti solo a quelle necessarie al loro ruolo.
- Sostituzione delle apparecchiature a fine vita: Aggiornamento o sostituzione dei dispositivi non più supportati dagli aggiornamenti di sicurezza.
