Amerikaanse, Australische, Britse, Canadese, Duitse, Japanse, Nieuw-Zeelandse en Zuid-Koreaanse overheidsdiensten beschuldigden de Chinese overheid in een nieuw adviesrapport van cyberspionage. In het document wordt de werkwijzen beschreven van een spionagegroep aangeduid als APT40, die in opdracht van het Chinese ministerie van Staatsveiligheid operaties zou uitvoeren.

De groep heeft het volgens de overheidsdiensten vooral voorzien op kwetsbare servers en andere netwerkapparaten. Om niet tijdens de aanvallen op te vallen maakt de groep voor de 'laatste hop' gebruik van gecompromitteerde SOHO-apparaten in het betreffende land. Veel van deze apparaten zijn end-of-life of niet door de beheerders gepatcht.

Door het onderzoeken van deze apparaten konden de diensten naar eigen zeggen de werkwijzen van de groep in kaart brengen. Zo worden twee gevallen beschreven van organisaties die door de groep werden gecompromitteerd. De initiële aanvalsvector zijn vaak net bekendgemaakte kwetsbaarheden in populaire software waar de groep een exploit voor heeft.

Zodra er toegang is verkregen wordt vaak een webshell geïnstalleerd, waarmee er toegang tot het apparaat wordt behouden. Bij één van de beschreven aanvallen maakte de groep gebruik van een 'plat' netwerk en onveilige intern ontwikkelde software waarmee het mogelijk was om willekeurige bestanden te uploaden. De aanvallers proberen ook inloggegevens te stelen waarmee ze verdere aanvallen kunnen uitvoeren.

Logging

Een groot probleem bij het onderzoek naar aangevallen organisaties is een gebrek aan logs, aldus het adviesrapport. Het gaat dan bijvoorbeeld om web server request logs, Windows event logs en internet proxy logs. Organisaties worden dan ook geadviseerd om logs centraal voor een langere periode op te slaan. Tevens worden patchmanagement, netwerksegmentatie, multifactorauthenticatie, het uitschakelen van onnodige en ongebruikte diensten, protocollen en poorten, het toepassen van 'least privileges en het vervangen van niet meer ondersteunde apparatuur aangeraden.