APT41 атакует НКО, влияющие на политику США: долгосрочное проникновение

Недавняя кибератака, которой приписывают участие злоумышленников, связанных с Китаем, в частности APT41, подтверждает стабильный интерес этих акторов к организациям, участвующим в формировании американской внешней и внутренней политики. Инцидент произошёл в апреле 2025 года: злоумышленники получили доступ к сети некоммерческой организации и сохранили свое присутствие в течение нескольких недель, что указывает на целенаправленную стратегию долгосрочного контроля.

Что произошло

Атака началась 5 апреля 2025 года с массового сканирования серверов организации. В ходе обследования злоумышленники последовательно проверяли множество известных уязвимостей, используя разнообразные эксплойты в попытке добиться несанкционированного доступа.

«Атака демонстрирует намерение акторов установить долгосрочное проникновение, что является отличительной чертой их оперативной тактики».

Методы и эксплуатированные уязвимости

Широта применения эксплойтов подчеркивает намерение использовать разные векторы следующего характера:

• Atlassian OGNL (CVE-2022-26134)
• Log4j (CVE-2021-44228)
• Apache Struts (CVE-2017-9805)
• GoAhead RCE (CVE-2017-17562)

Использование старых, но широко известных уязвимостей показывает, что злоумышленники не ограничиваются «нулевыми днями» и активно эксплуатируют непатченные или плохо защищённые инфраструктурные компоненты.

Мотивы и геополитический контекст

Деятельность китайских кибершпионских групп традиционно сосредоточена на сборе разведданных, касающихся внешней политики и позиций иностранных государств по отношению к Китаю. Этот инцидент, как и предыдущие атаки на организации, проявляющие заметный интерес к американо-китайским отношениям, свидетельствует о систематическом наблюдении за интеллектуальными и политическими ресурсами для получения стратегических преимуществ.

Последствия и риски

Долговременное присутствие злоумышленников в сети повышает риск утечки чувствительной переписки, документов и аналитики, которые могут использоваться для влияния на политические дискуссии или принятие решений. Кроме того, компрометация некоммерческой организации, работающей с политическими вопросами, может привести к подрыву доверия и к юридическим и репутационным потерям.

Рекомендации по защите

На основе характера инцидента эксперты советуют следующие меры, обязательные для организаций, представляющих интерес для государственных акторов:

• Немедленно проводить регулярное патчирование и управление уязвимостями, включая проверку компонентов стороннего ПО.
• Внедрить многослойный мониторинг сетевой активности и EDR для быстрого обнаружения аномалий.
• Ограничить доступы по принципу least privilege и регулярно пересматривать учетные записи с повышенными правами.
• Проводить регулярные учения по инцидент-респонсу и иметь готовый план с каналами оповещения и восстановления.
• Обращать внимание на разведывательные отчёты об APT-группах и адаптировать защиту под их известные TTPs.

Этот инцидент служит напоминанием о том, что геополитическая напряжённость всё чаще выражается в киберпространстве, а успешная защита требует постоянной готовности и проактивных мер со стороны организаций, оказывающих влияние на международную политику.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.