Hiina häkkerid rikuvad USA riigikassa süsteeme murettekitava küberjulgeoleku intsidendi tõttu
USA rahandusministeerium kinnitas, et Hiina häkkerid pääsesid kaugjuurdepääsuga osakondade tööjaamadele ja salastamata dokumentidele, mida ametnikud nimetavad "suureks küberjulgeolekuintsidendiks". Rikkumine leidis aset pärast seda, kui häkkerid ohustasid pilvepõhist teenust, mida haldab privilegeeritud juurdepääsu haldamisele spetsialiseerunud ettevõte BeyondTrust.
Kuigi riigikassa ametnikud tunnistasid intsidendi tõsidust, jäävad kriitilised üksikasjad ebaselgeks. Osakond ei ole avaldanud mõjutatud tööjaamade arvu ega juurdepääsetavate dokumentide olemust.
Sisukord
Rikkumine on seotud Hiinaga seotud edasijõudnud püsiva ohuga
Rünnak, mille põhjuseks oli Hiinast pärit riiklikult toetatud Advanced Persistent Threat (APT) rühm , avanes pärast seda, kui häkkerid kasutasid ära varastatud API-võtit, mida BeyondTrust kasutas. Rahandusosakonna juhtimisabi sekretäri Aditi Hardikari sõnul teavitas BeyondTrust riigikassat 8. detsembril kahtlasest tegevusest, mis oli seotud pilvepõhise tehnilise toe teenusega.
"Juurdepääsuga varastatud võtmele suutis ohus osaleja teenuse turvalisuse alistada, pääseda kaugjuurdepääsuga rahandusministeeriumide (DO) kasutajate tööjaamadesse ja hankida nende kasutajate hallatud salastamata dokumente," selgitas Hardikar seadusandjatele saadetud kirjas.
Kuigi salastamata süsteemid on üldiselt vähem tundlikud kui salastatud võrgud, võib nende ohtu sattumine siiski kujutada endast märkimisväärset ohtu, paljastades potentsiaalselt valitsuse tegevuse või võimaldades edasisi ründeid.
Koordineeritud reageerimine käib
Riigikassa on rikkumist analüüsima ja selle mõju hindama kutsunud küberjulgeoleku ja infrastruktuuri turbeagentuuri (CISA), FBI, luurekogukonna ja erakohtuekspertiisi uurijad. Hardikari sõnul teevad need agentuurid koostööd, et tagada intsidendi ohjeldamine ja tugevdada kaitset tulevaste ohtude eest.
CISA kiire reageerimine koos riigikassa otsusega koheselt ohustatud teenus võrgust välja lülitada ei ole seni näidanud mingeid märke selle kohta, et häkkeritel on endiselt juurdepääs osakondade süsteemidele.
BeyondTrust haavatavus on ära kasutatud
Intsidendi keskmes olnud müüja BeyondTrust andis hiljuti välja paigad kriitilise haavatavuse (CVE-2024-12356) jaoks oma privilegeeritud kaugjuurdepääsu (PRA) ja kaugtoe (RS) toodetes. 5. detsembril avastas ettevõte, et tema kaugtoe SaaS-i API-võti on rikutud, mis käivitas mõjutatud juhtumite viivitamatu sulgemise ja mõjutatud klientide teavitamise.
Kontekst: Hiina küberspionaaži laiem laine
See rünnak riigikassa vastu toimub keset kõrgendatud muret Hiina suurema küberspionaažikampaania pärast, hüüdnimega " Soola taifuun ". Väidetavalt võimaldas see kampaania Pekingile juurdepääsu tundlikule teabevahetusele, sealhulgas tekstisõnumitele ja telefonivestlustele, mis hõlmasid Ameerika kodanikke.
Detsembri lõpu seisuga kinnitasid USA ametnikud, et Salt Typhoon on ohustanud üheksa telekommunikatsiooniettevõtet. Riigikassa rikkumine, kuigi näiliselt ei ole seotud, toob esile Hiina riigi rahastatud küberoperatsioonide ulatuse ja keerukuse, mis on suunatud USA infrastruktuurile ja valitsussüsteemidele.
Võtmed kaasavõtmiseks
See juhtum on terav meeldetuletus kriitilistest haavatavustest, mida põhjustavad kolmanda osapoole tarkvara sõltuvused. Pilvepõhised teenused, mida sageli peetakse mugavaks ja turvaliseks, võivad nende ärakasutamise korral saada ründajatele väravaks.
Organisatsioonid – nii valitsus- kui ka erasektori – peavad jääma valvsaks, tagades tugevad turvaprotokollid, korrapärased paigad ja põhjalikud intsidentidele reageerimise plaanid. USA valitsuse kiire küberjulgeolekuagentuuride kaasamine rõhutab küberohtudele koordineeritud reageerimise tähtsust.
Uurimise edenedes on üks asi selge: küberjulgeoleku panused kasvavate geopoliitiliste pingete ja üha keerukamate küberrünnakute ajastul on suuremad kui kunagi varem.