Gli hacker cinesi APT40, anche noti come Kryptonite Panda, GINGHAM TYPHOON, Leviathan, e Bronze Mohawk, sono attivi dal 2011 e hanno preso di mira organizzazioni governative e aziende chiave negli Stati Uniti e in Australia. Recentemente, sono stati segnalati attacchi che sfruttano vulnerabilità in Microsoft Exchange Server e in software come WinRAR.
APT40: Tattiche e procedure
APT40 sfrutta vulnerabilità in infrastrutture pubbliche e dispositivi di rete periferici, evitando interazioni umane come phishing ed ingegneria sociale. La loro strategia include l’esplorazione di reti di interesse, l’individuazione di vulnerabilità, e l’utilizzo di web shells per il mantenimento della persistenza.
Breccia nei router SOHO
APT40 prende di mira router SOHO in fase di fine vita (EoL) sfruttando vulnerabilità di vecchia data (N-day). Questi router vengono compromessi e utilizzati come infrastruttura operativa per lanciare attacchi, mimetizzandosi nel traffico legittimo.
Esempi di attacchi
Il rapporto condivide due casi di studio del 2022, in cui APT40 ha sfruttato vulnerabilità in una web application personalizzata e in un portale di accesso remoto. In entrambi i casi, sono stati utilizzati web shells per l’esfiltrazione di dati e l’escalation dei privilegi.
Raccomandazioni per la mitigazione e la difesa
Per mitigare e difendersi da APT40 e minacce simili, è consigliabile applicare patch tempestive, implementare registrazione completa, e segmentare la rete. Disabilitare porte e servizi non utilizzati, utilizzare firewall per applicazioni web (WAF), applicare il principio del privilegio minimo, abilitare l’autenticazione a più fattori (MFA) per servizi di accesso remoto, e sostituire attrezzature EoL.
Sostituire attrezzature EoL edge networking è particolarmente critico, in quanto tali dispositivi sono destinati ad essere esposti pubblicamente e, se non ricevono più patch, diventano un bersaglio prezioso per attori delle minacce di ogni tipo.
Gli hacker cinesi APT40 rappresentano una minaccia significativa per la sicurezza informatica. Prendendo di mira router SOHO e sfruttando vulnerabilità di vecchia data, possono lanciare attacchi mimetizzandosi nel traffico legittimo. Applicando patch tempestive, implementando registrazione completa, e segmentando la rete, è possibile mitigare e difendersi da tali minacce.
Suggerimenti, soluzioni, consigli e best practice
- Mantenere aggiornati i sistemi: Applicare patch tempestive per i sistemi e i software in uso, inclusi router e altri dispositivi di rete.
- Implementare registrazione completa: Registrare attività di sistema e di rete per rilevare e analizzare attività sospette.
- Segmentare la rete: Dividere la rete in sottoreti più piccole per limitare la diffusione di eventuali attacchi.
- Disabilitare porte e servizi non utilizzati: Ridurre la superficie di attacco esponendo meno punti di ingresso per gli attaccanti.
- Utilizzare firewall per applicazioni web (WAF): Filtrare il traffico web in ingresso per bloccare attacchi mirati a vulnerabilità note.
- Applicare il principio del privilegio minimo: Assegnare privilegi minimi necessari per svolgere compiti specifici.
- Abilitare l’autenticazione a più fattori (MFA): Aumentare la sicurezza degli accessi remoti richiedendo più di una forma di autenticazione.
- Sostituire attrezzature EoL: Rimpiazzare attrezzature di rete in fase di fine vita che non ricevono più patch di sicurezza.
