Kiinalaiset hakkerit rikkovat Yhdysvaltain valtiovarainministeriön järjestelmiä hälyttävässä kyberturvallisuustapahtumassa
Yhdysvaltain valtiovarainministeriö on vahvistanut, että kiinalaiset hakkerit pääsivät etäkäyttöön osastojen työasemille ja luokittelemattomiin asiakirjoihin, joita viranomaiset kutsuvat "suureksi kyberturvallisuushäiriöksi". Rikkomus tapahtui sen jälkeen, kun hakkerit vaaransivat etuoikeutettujen käyttöoikeuksien hallintaan erikoistuneen BeyondTrustin ylläpitämän pilvipohjaisen palvelun.
Vaikka valtiovarainministeriön viranomaiset myönsivät tapauksen vakavuuden, kriittiset yksityiskohdat ovat edelleen epäselviä. Osasto ei ole paljastanut vaikutusten kohteena olevien työasemien määrää tai käsiteltyjen asiakirjojen luonnetta.
Sisällysluettelo
Rikkomus liittyy Kiinaan sidoksissa olevaan kehittyneeseen jatkuvaan uhkaan
Hyökkäys, joka johtui valtion tukemasta Advanced Persistent Threat (APT) -ryhmästä Kiinasta, puhkesi sen jälkeen, kun hakkerit käyttivät hyväkseen BeyondTrustin käyttämää varastettua API-avainta. Valtiovarainministeriön hallinnosta vastaavan apulaissihteerin Aditi Hardikarin mukaan BeyondTrust ilmoitti valtiovarainministeriölle 8. joulukuuta epäilyttävästä toiminnasta, joka liittyi sen pilvipohjaiseen tekniseen tukipalveluun.
"Käsyessään varastettuun avaimeen uhkatekijä pystyi ohittamaan palvelun turvallisuuden, pääsemään etänä Treasury Departmental Officesin (DO) käyttäjätyöasemille ja hakemaan näiden käyttäjien ylläpitämiä luokittelemattomia asiakirjoja", Hardikar selitti lainsäätäjille lähettämässään kirjeessä.
Vaikka luokittelemattomat järjestelmät ovat yleensä vähemmän herkkiä kuin turvaluokitellut verkot, niiden vaarantaminen voi silti aiheuttaa merkittävän riskin, joka saattaa paljastaa valtion toiminnan tai mahdollistaa lisähyökkäyksiä.
Koordinoitu vastaus käynnissä
Valtiovarainministeriö on palkannut Cybersecurity and Infrastructure Security Agencyn (CISA), FBI:n, tiedusteluyhteisön ja yksityiset oikeuslääketieteelliset tutkijat analysoimaan tietomurtoa ja arvioimaan sen vaikutuksia. Hardikarin mukaan nämä virastot tekevät yhteistyötä varmistaakseen tapauksen hillitsemisen ja vahvistaakseen puolustusta tulevia uhkia vastaan.
CISA:n nopea reagointi yhdistettynä valtiovarainministeriön päätökseen siirtää vaarantunut palvelu välittömästi offline-tilaan ei ole toistaiseksi paljastanut merkkejä siitä, että hakkereilla olisi edelleen pääsy osaston järjestelmiin.
BeyondTrust-haavoittuvuutta hyödynnetty
Tapahtuman ytimessä oleva toimittaja BeyondTrust julkaisi äskettäin korjaustiedostoja privileged Remote Access (PRA)- ja Remote Support (RS) -tuotteidensa kriittiseen haavoittuvuuteen (CVE-2024-12356). Joulukuun 5. päivänä yritys havaitsi, että sen Remote Support SaaS -sovelluksen API-avain oli vaarantunut, mikä aiheutti välittömän vaikutusten kohteena olevien esiintymien sulkemisen ja ilmoituksen vaikutuksesta kärsiville asiakkaille.
Konteksti: Kiinan kybervakoilun laajempi aalto
Tämä valtiovarainministeriöön kohdistuva hyökkäys johtuu lisääntyneestä huolesta kiinalaisesta laajemmasta kybervakoilukampanjasta, lempinimeltään " Soola Typhoon ". Tämän kampanjan kerrotaan antaneen Pekingille pääsyn arkaluontoiseen viestintään, mukaan lukien tekstiviestit ja puhelinkeskustelut, joissa oli mukana Yhdysvaltain kansalaisia.
Joulukuun lopussa Yhdysvaltain viranomaiset vahvistivat, että Salt Typhoon oli vaarantunut yhdeksän teleyritystä. Valtiovarainministeriön rikkominen, vaikka se ei näytä liittyvän toisiinsa, korostaa Kiinan valtion tukemien kyberoperaatioiden laajuutta ja kehittyneisyyttä, joka kohdistuu Yhdysvaltain infrastruktuuriin ja valtion järjestelmiin.
Key Takeaways
Tämä tapaus on jyrkkä muistutus kolmansien osapuolien ohjelmistoriippuvuuksien aiheuttamista kriittisistä haavoittuvuuksista. Pilvipohjaisista palveluista, joita pidetään usein kätevinä ja turvallisina, voi tulla hyökkääjien portti, jos niitä käytetään hyväksi.
Organisaatioiden – niin julkisten kuin yksityistenkin – on pysyttävä valppaina ja varmistettava vankat suojausprotokollat, säännölliset korjaukset ja kattavat suunnitelmat häiriötilanteiden hallintaan. Yhdysvaltain hallituksen nopea kyberturvallisuusvirastojen sitoutuminen korostaa koordinoidun kyberuhkiin vastaamisen tärkeyttä.
Tutkinnan edetessä yksi asia on selvä: kyberturvallisuuden panokset ovat korkeammat kuin koskaan kiihtyvien geopoliittisten jännitteiden ja yhä kehittyneempien kyberhyökkäysten aikakaudella.