Čínští hackeři narušili americké pokladní systémy při alarmujícím incidentu v oblasti kybernetické bezpečnosti
Americké ministerstvo financí potvrdilo, že čínští hackeři vzdáleně přistupovali k pracovním stanicím oddělení a neutajovaným dokumentům v tom, co úředníci nazývají „velkým incidentem kybernetické bezpečnosti“. K porušení došlo poté, co hackeři kompromitovali cloudovou službu provozovanou společností BeyondTrust, která se specializuje na správu privilegovaného přístupu.
Zatímco představitelé ministerstva financí uznali závažnost incidentu, kritické detaily zůstávají nejasné. Oddělení nezveřejnilo počet ovlivněných pracovních stanic ani povahu dokumentů, ke kterým se přistupovalo.
Obsah
Porušení spojeno s pokročilou trvalou hrozbou spojenou s Čínou
Útok, připisovaný státem podporované skupině Advanced Persistent Threat (APT) z Číny, se rozvinul poté, co hackeři zneužili ukradený klíč API používaný BeyondTrust. Podle Aditi Hardikar, náměstkyně ministra pro řízení na ministerstvu financí, BeyondTrust oznámila ministerstvu financí 8. prosince podezřelou aktivitu spojenou s její službou technické podpory na bázi cloudu.
„Díky přístupu k odcizenému klíči byl aktér hrozby schopen přepsat zabezpečení služby, vzdáleně přistupovat k uživatelským pracovním stanicím ministerstva financí (DO) a získávat neutajované dokumenty, které tito uživatelé udržovali,“ vysvětlil Hardikar v dopise zákonodárcům.
Zatímco neklasifikované systémy jsou obecně méně citlivé než utajované sítě, jejich kompromitace může stále představovat značné riziko, potenciálně odhalit vládní operace nebo umožnit další útoky.
Probíhá koordinovaná reakce
Ministerstvo financí pověřilo Agenturu pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA), FBI, zpravodajskou komunitu a soukromé forenzní vyšetřovatele, aby analyzovali narušení a posoudili jeho dopad. Podle Hardikara tyto agentury spolupracují, aby zajistily zvládnutí incidentu a posílily obranu proti budoucím hrozbám.
Rychlá reakce CISA, spojená s rozhodnutím ministerstva financí okamžitě převést napadenou službu do režimu offline, zatím neodhalila žádné známky toho, že by hackeři stále měli přístup k systémům oddělení.
Byla zneužita chyba zabezpečení BeyondTrust
BeyondTrust, dodavatel, který stojí v centru celého incidentu, nedávno vydal záplaty pro kritickou zranitelnost (CVE-2024-12356) ve svých produktech Privileged Remote Access (PRA) a Remote Support (RS). 5. prosince společnost zjistila, že došlo ke kompromitaci klíče API pro její vzdálenou podporu SaaS, což vyvolalo okamžité vypnutí postižených instancí a upozornění dotčeným zákazníkům.
Kontext: Širší vlna čínské kybernetické špionáže
Tento útok na ministerstvo financí přichází v době zvýšených obav z rozsáhlejší čínské kyberšpionážní kampaně, přezdívané „ solný tajfun “. Tato kampaň údajně poskytla Pekingu přístup k citlivé komunikaci, včetně textových zpráv a telefonických rozhovorů, zahrnujících americké občany.
Koncem prosince američtí představitelé potvrdili, že Salt Typhoon kompromitoval devět telekomunikačních společností. Narušení státní pokladny, i když zdánlivě nesouvisí, zdůrazňuje rozsah a sofistikovanost čínských státem sponzorovaných kybernetických operací zaměřených na americkou infrastrukturu a vládní systémy.
Klíčové věci
Tento incident je ostrou připomínkou kritických zranitelností, které představují softwarové závislosti třetích stran. Cloudové služby, které jsou často považovány za pohodlné a bezpečné, se mohou v případě zneužití stát branou pro útočníky.
Organizace – státní i soukromé – musí zůstat ostražité, zajistit robustní bezpečnostní protokoly, pravidelné opravy a komplexní plány reakce na incidenty. Rychlé zapojení agentur pro kybernetickou bezpečnost ze strany americké vlády podtrhuje důležitost koordinované reakce na kybernetické hrozby.
Jak se vyšetřování vyvíjí, jedna věc je jasná: kybernetická bezpečnost je v éře eskalujícího geopolitického napětí a stále sofistikovanějších kybernetických útoků vyšší než kdy jindy.