هکرهای چینی سیستم های خزانه داری ایالات متحده را در یک حادثه هشدار دهنده امنیت سایبری نقض کردند

وزارت خزانه داری ایالات متحده تایید کرده است که هکرهای چینی از راه دور به ایستگاه های کاری این وزارتخانه و اسناد طبقه بندی نشده دسترسی پیدا کرده اند که مقامات آن را "حادثه امنیت سایبری بزرگ" می نامند. این نقض پس از آن رخ داد که هکرها یک سرویس مبتنی بر ابری را که توسط BeyondTrust، یک شرکت متخصص در مدیریت دسترسی ممتاز، اداره می‌شود، به خطر انداختند.

در حالی که مقامات وزارت خزانه داری شدت این حادثه را تایید کردند، جزئیات بحرانی همچنان نامشخص است. این دپارتمان تعداد ایستگاه های کاری آسیب دیده یا ماهیت اسناد مورد دسترسی را فاش نکرده است.

نقض مرتبط با تهدید دائمی پیشرفته مرتبط با چین

این حمله که به یک گروه تهدید دائمی پیشرفته (APT) از چین با حمایت دولتی نسبت داده می شود، پس از سوء استفاده هکرها از یک کلید API سرقت شده توسط BeyondTrust آشکار شد. به گفته آدیتی هاردیکار، دستیار وزیر مدیریت در وزارت خزانه داری، BeyondTrust در 8 دسامبر از فعالیت مشکوک مربوط به خدمات پشتیبانی فنی مبتنی بر ابر خود به خزانه داری اطلاع داد.

هاردیکار در نامه ای به قانونگذاران توضیح داد: "با دسترسی به کلید سرقت شده، عامل تهدید توانست امنیت سرویس را نادیده بگیرد، از راه دور به ایستگاه های کاری کاربران دفاتر وزارت خزانه داری (DO) دسترسی پیدا کند و اسناد طبقه بندی نشده نگهداری شده توسط آن کاربران را بازیابی کند."

در حالی که سیستم‌های طبقه‌بندی‌نشده عموماً نسبت به شبکه‌های طبقه‌بندی شده حساسیت کمتری دارند، اما به خطر افتادن آن‌ها همچنان می‌تواند خطر قابل‌توجهی داشته باشد و به طور بالقوه عملیات دولتی را در معرض دید قرار دهد یا حملات بیشتری را امکان‌پذیر کند.

پاسخ هماهنگ در حال انجام است

وزارت خزانه داری آژانس امنیت سایبری و امنیت زیرساخت (CISA)، FBI، جامعه اطلاعاتی و بازرسان خصوصی پزشکی قانونی را برای تجزیه و تحلیل این نقض و ارزیابی تأثیر آن به خدمت گرفته است. به گفته هاردیکار، این آژانس ها برای اطمینان از مهار این حادثه و تقویت دفاع در برابر تهدیدات آینده با یکدیگر همکاری می کنند.

واکنش سریع CISA، همراه با تصمیم وزارت خزانه‌داری برای آفلاین کردن فوری سرویس آسیب‌دیده، تاکنون هیچ نشانه‌ای مبنی بر دسترسی هکرها به سیستم‌های دپارتمان نشان نداده است.

آسیب پذیری BeyondTrust مورد سوء استفاده قرار گرفت

BeyondTrust، فروشنده در قلب حادثه، اخیراً وصله‌هایی برای آسیب‌پذیری حیاتی (CVE-2024-12356) در محصولات دسترسی از راه دور ممتاز (PRA) و پشتیبانی از راه دور (RS) خود منتشر کرده است. در 5 دسامبر، این شرکت متوجه شد که یک کلید API برای Remote Support SaaS خود در معرض خطر قرار گرفته است، و باعث خاموش شدن فوری نمونه‌های آسیب‌دیده و اطلاع رسانی به مشتریان تحت تأثیر شد.

زمینه: موج گسترده‌تر جاسوسی سایبری چین

این حمله به وزارت خزانه داری در بحبوحه تشدید نگرانی ها در مورد یک کمپین جاسوسی سایبری بزرگتر چینی با نام مستعار " طوفان نمک " صورت می گیرد. طبق گزارش ها، این کمپین به پکن اجازه دسترسی به ارتباطات حساس، از جمله پیام های متنی و مکالمات تلفنی، شامل شهروندان آمریکایی را داد .

در اواخر دسامبر، مقامات ایالات متحده تأیید کردند که 9 شرکت مخابراتی توسط Salt Typhoon به خطر افتاده اند. نقض خزانه داری، اگرچه به ظاهر نامرتبط است، اما دامنه و پیچیدگی عملیات سایبری تحت حمایت دولت چین را که زیرساخت ها و سیستم های دولتی ایالات متحده را هدف قرار می دهد، برجسته می کند.

خوراکی های کلیدی

این حادثه یادآور آسیب پذیری های حیاتی ناشی از وابستگی های نرم افزاری شخص ثالث است. سرویس‌های مبتنی بر ابر، که اغلب راحت و امن دیده می‌شوند، در صورت بهره‌برداری می‌توانند به دروازه‌ای برای مهاجمان تبدیل شوند.

سازمان‌ها - دولتی و خصوصی - باید مراقب باشند و از پروتکل‌های امنیتی قوی، وصله‌های منظم و برنامه‌های جامع واکنش به حوادث اطمینان حاصل کنند. تعامل سریع دولت ایالات متحده با آژانس های امنیت سایبری بر اهمیت پاسخ هماهنگ به تهدیدات سایبری تأکید می کند.

همانطور که تحقیقات آشکار می شود، یک چیز واضح است: خطرات امنیت سایبری در عصر تشدید تنش های ژئوپلیتیکی و حملات سایبری پیچیده تر از همیشه بیشتر است.