Security-experts waarschuwen dat de Chinese cyberspionagegroep APT41 kwetsbaarheden in bedrijfstoepassingen en apparaten van bedrijven als Cisco, Citrix en Zoho heeft geëxploiteerd.
Tijdens de coronavirus pandemie zijn veel bedrijven kwetsbaar, omdat IT-personeel op afstand werkt en bedrijfsapplicaties thuis worden gebruikt en zonder adequate bescherming aan het internet worden blootgesteld.
Tussen 20 januari en 11 maart rapporteerde cybersecuritybedrijf FireEye poging van APT41 om kwetsbaarheden in Citrix NetScaler/ADC, Cisco-routers en Zoho ManageEngine Desktop Central te misbruiken bij meer dan 75 FireEye-klanten.
Ze beschreven de aanvallen als “een van de grootste campagnes van Chinese hackers die we de afgelopen jaren hebben waargenomen”.
APT41 wordt naar verluidt door de Chinese staat gesponsord en is sinds 2012 actief. Hun acties houden opvallenderwijs gelijke tred met de vijfjarige economische ontwikkelingsplannen van China.
De groep staat ook bekend als Barium of Winnti, en richt zich vooral op de online gaming-industrie. De meeste experts denken dat ze door de Chinese overheid worden ingehuurd en meerdere teams hebben met verschillende doelen.
In 2017 hackte werd CCleaner gehackt waardoor gecompromitteerde exemplaren van het populaire hulpprogramma werden verspreid onder 2,2 miljoen gebruikers. Ook werd de servertool Xmanager gehackt.
De onderzoekers van FireEye concluderen dat de groep zeer bekwaam en wendbaar is en zich snel aanpast aan alle pogingen van de doelwitten om de kwetsbaarheden te repareren.
In tegenstelling tot eerdere campagnes waarbij de groep gebruik maakte van phishing, waren de aanvallen dit jaar voornamelijk gericht op kwetsbare systemen en apparaten die rechtstreeks waren blootgesteld aan het Internet.
De recente APT41-aanvallen benadrukken de risico’s die verbonden zijn aan het direct blootstellen van gevoelige bedrijfstoepassingen aan het Internet, iets dat moeilijk te voorkomen is als er thuis wordt gewerkt.
[Fotocredits © Oleksii – Adobe Stock]
