Китайски хакери пробиват системите на Министерството на финансите на САЩ при тревожен инцидент с киберсигурността
Министерството на финансите на САЩ потвърди, че китайски хакери са получили отдалечен достъп до работни станции на отдела и некласифицирани документи в това, което служители наричат „голям инцидент с киберсигурността“. Пробивът стана, след като хакери компрометираха облачна услуга, управлявана от BeyondTrust, компания, специализирана в управлението на привилегирован достъп.
Въпреки че служители на Министерството на финансите признаха сериозността на инцидента, критичните подробности остават неясни. Отделът не е разкрил броя на засегнатите работни станции или естеството на документите, до които е имало достъп.
Съдържание
Пробив, свързан с напреднала постоянна заплаха, свързана с Китай
Атаката, приписвана на спонсорирана от държавата Advanced Persistent Threat (APT) група от Китай, се разгърна, след като хакерите използваха откраднат API ключ, използван от BeyondTrust. Според Адити Хардикар, помощник-секретар по управлението в Министерството на финансите, BeyondTrust е уведомил Министерството на финансите на 8 декември за подозрителна дейност, свързана с неговата услуга за техническа поддръжка, базирана на облак.
„С достъп до откраднатия ключ, заплахата успя да замени сигурността на услугата, да получи дистанционен достъп до потребителските работни станции на министерството на финансите (DO) и да извлече некласифицирани документи, поддържани от тези потребители“, обясни Хардикар в писмо до законодателите.
Докато некласифицираните системи обикновено са по-малко чувствителни от класифицираните мрежи, техният компромет все пак може да представлява значителен риск, потенциално излагайки на показ правителствени операции или позволявайки допълнителни атаки.
В ход е координирана реакция
Министерството на финансите привлече Агенцията за киберсигурност и сигурност на инфраструктурата (CISA), ФБР, Разузнавателната общност и частни съдебни следователи, за да анализират пробива и да оценят въздействието му. Според Хардикар тези агенции си сътрудничат, за да осигурят ограничаването на инцидента и да укрепят защитата срещу бъдещи заплахи.
Бързата реакция на CISA, съчетана с решението на Министерството на финансите незабавно да изключи компрометираната услуга офлайн, досега не разкрива признаци, че хакерите все още имат достъп до системите на отдела.
Използвана е уязвимостта на BeyondTrust
BeyondTrust, доставчикът в основата на инцидента, наскоро издаде пачове за критична уязвимост (CVE-2024-12356) в своите продукти за привилегирован отдалечен достъп (PRA) и отдалечена поддръжка (RS). На 5 декември компанията откри, че API ключ за нейния SaaS за отдалечена поддръжка е бил компрометиран, задействайки незабавно спиране на засегнатите екземпляри и уведомяване на засегнатите клиенти.
Контекст: По-широка вълна от китайски кибершпионаж
Тази атака срещу Министерството на финансите идва на фона на повишени опасения относно по-мащабна китайска кампания за кибершпионаж, наречена „ Соленият тайфун “. Съобщава се, че тази кампания е предоставила на Пекин достъп до чувствителни комуникации, включително текстови съобщения и телефонни разговори, включващи американски граждани.
Към края на декември американски служители потвърдиха, че девет телекомуникационни компании са били компрометирани от Salt Typhoon. Пробивът в Министерството на финансите, макар и на пръв поглед несвързан, подчертава обхвата и сложността на спонсорираните от китайската държава кибероперации, насочени към инфраструктурата и правителствените системи на САЩ.
Ключови изводи
Този инцидент е ярко напомняне за критичните уязвимости, породени от зависимостите на софтуера на трети страни. Базираните в облак услуги, често разглеждани като удобни и сигурни, могат да се превърнат в портал за нападатели, ако бъдат експлоатирани.
Организациите – както правителствени, така и частни – трябва да останат бдителни, като гарантират стабилни протоколи за сигурност, редовни корекции и цялостни планове за реагиране при инциденти. Бързото ангажиране на агенциите за киберсигурност от правителството на САЩ подчертава важността на координирания отговор на киберзаплахите.
Докато разследването се развива, едно нещо е ясно: Залогът на киберсигурността е по-висок от всякога в ерата на ескалиране на геополитическо напрежение и все по-сложни кибератаки.