Κινέζοι χάκερ παραβιάζουν τα συστήματα του Υπουργείου Οικονομικών των ΗΠΑ σε ανησυχητικό περιστατικό κυβερνοασφάλειας
Το Υπουργείο Οικονομικών των ΗΠΑ επιβεβαίωσε ότι Κινέζοι χάκερ είχαν απομακρυσμένη πρόσβαση σε σταθμούς εργασίας και μη διαβαθμισμένα έγγραφα σε αυτό που αξιωματούχοι αποκαλούν «μείζον περιστατικό ασφάλειας στον κυβερνοχώρο». Η παραβίαση σημειώθηκε αφού χάκερ παραβίασαν μια υπηρεσία που βασίζεται σε cloud που λειτουργεί από την BeyondTrust, μια εταιρεία που ειδικεύεται στη διαχείριση προνομιακής πρόσβασης.
Ενώ οι αξιωματούχοι του υπουργείου Οικονομικών αναγνώρισαν τη σοβαρότητα του συμβάντος, κρίσιμες λεπτομέρειες παραμένουν ασαφείς. Το τμήμα δεν έχει αποκαλύψει τον αριθμό των σταθμών εργασίας που επηρεάστηκαν ή τη φύση των εγγράφων στα οποία έχει πρόσβαση.
Πίνακας περιεχομένων
Η παραβίαση συνδέεται με προηγμένη επίμονη απειλή που συνδέεται με την Κίνα
Η επίθεση, που αποδίδεται σε μια κρατική ομάδα Advanced Persistent Threat (APT) από την Κίνα, εκτυλίχθηκε αφού οι χάκερ εκμεταλλεύτηκαν ένα κλεμμένο κλειδί API που χρησιμοποιούσε η BeyondTrust. Σύμφωνα με την Aditi Hardikar, Βοηθό Γραμματέα Διαχείρισης στο Υπουργείο Οικονομικών, η BeyondTrust ειδοποίησε το Υπουργείο Οικονομικών στις 8 Δεκεμβρίου για ύποπτη δραστηριότητα που συνδέεται με την υπηρεσία τεχνικής υποστήριξης που βασίζεται σε cloud.
«Με την πρόσβαση στο κλεμμένο κλειδί, ο παράγοντας απειλής μπόρεσε να παρακάμψει την ασφάλεια της υπηρεσίας, να αποκτήσει απομακρυσμένη πρόσβαση στους σταθμούς εργασίας χρηστών του Υπουργείου Οικονομικών του Υπουργείου Οικονομικών (DO) και να ανακτήσει μη διαβαθμισμένα έγγραφα που διατηρούσαν αυτοί οι χρήστες», εξήγησε ο Hardikar σε επιστολή προς τους νομοθέτες.
Ενώ τα μη ταξινομημένα συστήματα είναι γενικά λιγότερο ευαίσθητα από τα ταξινομημένα δίκτυα, ο συμβιβασμός τους μπορεί να εξακολουθεί να αποτελεί σημαντικό κίνδυνο, εκθέτοντας δυνητικά τις κυβερνητικές λειτουργίες ή επιτρέποντας περαιτέρω επιθέσεις.
Συντονισμένη απόκριση σε εξέλιξη
Το Υπουργείο Οικονομικών έχει επιστρατεύσει την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA), το FBI, την Κοινότητα Πληροφοριών και ιδιωτικούς ερευνητές για την ανάλυση της παραβίασης και την αξιολόγηση των επιπτώσεών της. Σύμφωνα με τον Hardikar, αυτές οι υπηρεσίες συνεργάζονται για να εξασφαλίσουν τον περιορισμό του περιστατικού και να ενισχύσουν την άμυνα έναντι μελλοντικών απειλών.
Η ταχεία ανταπόκριση της CISA, σε συνδυασμό με την απόφαση του Υπουργείου Οικονομικών να θέσει αμέσως την παραβιασμένη υπηρεσία εκτός σύνδεσης, δεν έχει αποκαλύψει μέχρι στιγμής ενδείξεις ότι οι χάκερ εξακολουθούν να έχουν πρόσβαση στα συστήματα του τμήματος.
Εκμετάλλευση ευπάθειας BeyondTrust
Η BeyondTrust, ο πωλητής στο επίκεντρο του συμβάντος, εξέδωσε πρόσφατα ενημερώσεις κώδικα για μια κρίσιμη ευπάθεια (CVE-2024-12356) στα προϊόντα Προνομιακής Απομακρυσμένης Πρόσβασης (PRA) και Απομακρυσμένης Υποστήριξης (RS). Στις 5 Δεκεμβρίου, η εταιρεία ανακάλυψε ότι ένα κλειδί API για το Remote Support SaaS της είχε παραβιαστεί, προκαλώντας άμεσο τερματισμό λειτουργίας των επηρεαζόμενων παρουσιών και ειδοποίηση στους επηρεαζόμενους πελάτες.
Πλαίσιο: Ένα ευρύτερο κύμα κινεζικής κυβερνοκατασκοπείας
Αυτή η επίθεση στο Υπουργείο Οικονομικών έρχεται εν μέσω αυξημένων ανησυχιών για μια μεγαλύτερη κινεζική εκστρατεία κυβερνοκατασκοπείας, με το παρατσούκλι " Salt Typhoon ". Αυτή η εκστρατεία φέρεται να παραχώρησε στο Πεκίνο πρόσβαση σε ευαίσθητες επικοινωνίες, συμπεριλαμβανομένων μηνυμάτων κειμένου και τηλεφωνικών συνομιλιών, στις οποίες εμπλέκονταν Αμερικανοί πολίτες.
Από τα τέλη Δεκεμβρίου, αξιωματούχοι των ΗΠΑ επιβεβαίωσαν ότι εννέα εταιρείες τηλεπικοινωνιών είχαν παραβιαστεί από το Salt Typhoon. Η παραβίαση του Υπουργείου Οικονομικών, αν και φαινομενικά άσχετη, υπογραμμίζει το εύρος και την πολυπλοκότητα των κινεζικών κρατικών επιχειρήσεων στον κυβερνοχώρο που στοχεύουν υποδομές και κυβερνητικά συστήματα των ΗΠΑ.
Βασικά Takeaways
Αυτό το περιστατικό είναι μια έντονη υπενθύμιση των κρίσιμων τρωτών σημείων που δημιουργούνται από εξαρτήσεις λογισμικού τρίτων. Οι υπηρεσίες που βασίζονται στο cloud, οι οποίες συχνά θεωρούνται βολικές και ασφαλείς, μπορούν να γίνουν πύλη για τους εισβολείς εάν τις εκμεταλλευτούν.
Οι οργανισμοί —κρατικοί όσο και ιδιωτικοί— πρέπει να παραμείνουν σε επαγρύπνηση, διασφαλίζοντας ισχυρά πρωτόκολλα ασφαλείας, τακτικές επιδιορθώσεις και ολοκληρωμένα σχέδια αντιμετώπισης περιστατικών. Η ταχεία δέσμευση της κυβέρνησης των ΗΠΑ με τις υπηρεσίες κυβερνοασφάλειας υπογραμμίζει τη σημασία μιας συντονισμένης απάντησης στις απειλές στον κυβερνοχώρο.
Καθώς η έρευνα εξελίσσεται, ένα πράγμα είναι σαφές: Το διακύβευμα της κυβερνοασφάλειας είναι υψηλότερο από ποτέ σε μια εποχή κλιμάκωσης γεωπολιτικών εντάσεων και ολοένα και πιο εξελιγμένων κυβερνοεπιθέσεων.