El actor chino de amenazas persistentes avanzadas (APT) rastreado de diversas formas como APT41, Bario, Wicked Panda/Spider o Bronze Atlas comprometía activamente a las víctimas a través de la vulnerabilidad Log4Shell en Apache Log4j inmediatamente después de su divulgación en diciembre de 2021, según una investigación realizada por los analistas de Mandiant.
Mandiant, que a principios de esta semana fue comprada por Google Cloud, reveló que APT41 irrumpió en al menos seis redes gubernamentales estatales en los EE. UU. durante un período de nueve meses, utilizando tanto Log4j como otra vulnerabilidad en USAHerds (una aplicación de salud ganadera del gobierno) en un campaña que explota aplicaciones web vulnerables frente a la Internet pública.
La explotación de Log4j por parte de APT41 comenzó pocas horas después del aviso inicial del 10 de diciembre de 2021, cuando lo utilizaron para comprometer a dos organismos gubernamentales, así como contra otros objetivos en los sectores de seguros y telecomunicaciones.
Además, en la última quincena, APT41 ha vuelto a comprometer a dos de las víctimas anteriores de la campaña. Las investigaciones sobre estas infracciones están en curso, pero Mandiant dijo que estaba claro que APT41 se está moviendo rápidamente para cambiar sus técnicas de acceso inicial y aparentemente no se inmutó por las acusaciones contra sus miembros emitidas por las autoridades estadounidenses el año pasado.
El analista principal de amenazas de Mandiant, Geoff Ackerman, dijo que si bien la guerra en curso en Ucrania capturó la atención de la comunidad cibernética, su última divulgación mostró que las cosas siguen como siempre para otros actores de amenazas importantes.
“No podemos permitir que otras actividades cibernéticas se queden en el camino, especialmente dadas nuestras observaciones de que esta campaña de APT41, uno de los actores de amenazas más prolíficos, continúa hasta el día de hoy”, dijo Ackerman.
“APT41 es realmente una amenaza persistente, y esta campaña reciente es otro recordatorio de que los sistemas a nivel estatal en los Estados Unidos están bajo una presión implacable de actores de estados-nación como China y Rusia.
“Sin embargo, si bien esta última campaña se ha dirigido deliberadamente a los EE. UU., el uso de la vulnerabilidad de día cero en Log4j por parte de APT41 demuestra su interés continuo en regiones más tradicionalmente dirigidas, como el sudeste asiático.
“La preferencia por utilizar exploits web para apuntar a aplicaciones web públicas, junto con la capacidad de cambiar rápidamente los objetivos en función de las capacidades disponibles, indica que APT41 continúa planteando”, agregó.
Aubrey Perin, analista principal de inteligencia de amenazas de estado-nación en Qualys, dijo que la historia cibernética reciente ha demostrado que el gobierno chino está profundamente preocupado por saber tanto como sea posible en todo momento.
“Sus El sistema de creencias acerca de que la información es de dominio público difiere de la noción de propiedad intelectual de los Estados Unidos. Mientras China no esté espiando para dañar a otros, está de moda que estén hurgando de maneras que se materialicen en casos como estos”, dijo.
“Una de las piezas más preocupantes que apunta a la sofisticación y el inmenso volumen de recursos a disposición de los actores estatales fue la capacidad de China para infiltrarse en dos estados utilizando el sacudiendo internet Log4j falla apenas unas horas después del aviso de CISA”.
En comentarios enviados por correo electrónico, Perin le dijo a Computer Weekly que, según las propias capacidades de investigación de Qualys, aunque muchas organizaciones respondieron rápidamente a las divulgaciones de Log4j, hasta el 30 % de las instancias de Log4j existentes todavía están en riesgo. Dijo que aquellos que todavía ignoraban la vulnerabilidad estaban efectivamente “pulsando el botón de repetición”.