Kinesiske hackere bryder amerikanske finanssystemer i alarmerende cybersikkerhedshændelse
Det amerikanske finansministerium har bekræftet, at kinesiske hackere fik fjernadgang til afdelingsarbejdsstationer og uklassificerede dokumenter i det, embedsmænd kalder en "større cybersikkerhedshændelse." Bruddet opstod, efter at hackere kompromitterede en cloud-baseret tjeneste drevet af BeyondTrust, et firma, der specialiserer sig i privilegeret adgangsstyring.
Mens finansministeriets embedsmænd anerkendte hændelsens alvor, er kritiske detaljer stadig uklare. Afdelingen har ikke oplyst antallet af berørte arbejdsstationer eller arten af de tilgåede dokumenter.
Indholdsfortegnelse
Brud knyttet til Kina-forbundet avanceret vedvarende trussel
Angrebet, der tilskrives en statssponsoreret Advanced Persistent Threat (APT) gruppe fra Kina, foldede sig ud, efter at hackerne udnyttede en stjålet API-nøgle brugt af BeyondTrust. Ifølge Aditi Hardikar, assisterende sekretær for ledelse i finansministeriet, underrettede BeyondTrust finansministeriet den 8. december om mistænkelig aktivitet knyttet til dets skybaserede tekniske supporttjeneste.
"Med adgang til den stjålne nøgle var trusselsaktøren i stand til at tilsidesætte tjenestens sikkerhed, fjernadgang få adgang til Treasury Departmental Offices (DO) brugerarbejdsstationer og hente uklassificerede dokumenter vedligeholdt af disse brugere," forklarede Hardikar i et brev til lovgiverne.
Mens uklassificerede systemer generelt er mindre følsomme end klassificerede netværk, kan deres kompromittering stadig udgøre en betydelig risiko, hvilket potentielt afslører regeringsoperationer eller muliggør yderligere angreb.
Koordineret indsats i gang
Finansministeriet har hyret Cybersecurity and Infrastructure Security Agency (CISA), FBI, efterretningsfællesskabet og private retsmedicinske efterforskere til at analysere bruddet og vurdere dets indvirkning. Ifølge Hardikar samarbejder disse agenturer for at sikre hændelsen inddæmmet og for at styrke forsvaret mod fremtidige trusler.
CISA's hurtige reaktion, parret med finansministeriets beslutning om straks at tage den kompromitterede tjeneste offline, har indtil videre ikke afsløret tegn på, at hackerne stadig har adgang til afdelingssystemer.
BeyondTrust sårbarhed udnyttet
BeyondTrust, leverandøren i hjertet af hændelsen, udsendte for nylig patches til en kritisk sårbarhed (CVE-2024-12356) i sine Privileged Remote Access (PRA) og Remote Support (RS) produkter. Den 5. december opdagede virksomheden, at en API-nøgle til dets Remote Support SaaS var blevet kompromitteret, hvilket udløste en øjeblikkelig lukning af berørte tilfælde og meddelelse til berørte kunder.
Kontekst: En bredere bølge af kinesisk cyberspionage
Dette angreb på finansministeriet kommer midt i øget bekymring over en større kinesisk cyberspionagekampagne, med tilnavnet " Salttyfonen ". Denne kampagne gav angiveligt Beijing adgang til følsom kommunikation, herunder tekstbeskeder og telefonsamtaler, der involverede amerikanske borgere.
I slutningen af december bekræftede amerikanske embedsmænd, at ni teleselskaber var blevet kompromitteret af Salt Typhoon. Finansministeriets brud, selvom det tilsyneladende ikke er relateret, fremhæver omfanget og sofistikeringen af kinesiske statssponserede cyberoperationer rettet mod amerikansk infrastruktur og regeringssystemer.
Nøgle takeaways
Denne hændelse er en skarp påmindelse om de kritiske sårbarheder, som tredjeparts softwareafhængigheder udgør. Cloud-baserede tjenester, der ofte ses som praktiske og sikre, kan blive en gateway for angribere, hvis de udnyttes.
Organisationer – både offentlige og private – skal forblive på vagt og sikre robuste sikkerhedsprotokoller, regelmæssig patching og omfattende hændelsesresponsplaner. Den amerikanske regerings hurtige inddragelse af cybersikkerhedsagenturer understreger vigtigheden af en koordineret reaktion på cybertrusler.
Efterhånden som undersøgelsen udfolder sig, er én ting klar: Indsatsen for cybersikkerhed er højere end nogensinde i en æra med eskalerende geopolitiske spændinger og stadig mere sofistikerede cyberangreb.