Kineski hakeri probili su sustave američke riznice u alarmantnom kibersigurnosnom incidentu

Ministarstvo financija SAD-a potvrdilo je da su kineski hakeri daljinski pristupili radnim stanicama odjela i neklasificiranim dokumentima u onome što dužnosnici nazivaju "velikim kibersigurnosnim incidentom". Do povrede je došlo nakon što su hakeri ugrozili uslugu temeljenu na oblaku kojom upravlja BeyondTrust, tvrtka specijalizirana za upravljanje povlaštenim pristupom.

Iako su dužnosnici Ministarstva financija priznali ozbiljnost incidenta, ključni detalji ostaju nejasni. Odjel nije otkrio broj pogođenih radnih stanica niti prirodu dokumenata kojima se pristupilo.

Povreda povezana s naprednom trajnom prijetnjom povezanom s Kinom

Napad, koji se pripisuje državno sponzoriranoj skupini Advanced Persistent Threat (APT) iz Kine, započeo je nakon što su hakeri iskoristili ukradeni API ključ koji koristi BeyondTrust. Prema Aditi Hardikar, pomoćnici tajnika za upravljanje u Ministarstvu financija, BeyondTrust je 8. prosinca obavijestio Ministarstvo financija o sumnjivim aktivnostima vezanim uz njegovu uslugu tehničke podrške temeljenu na oblaku.

"S pristupom ukradenom ključu, prijetnja je mogla nadjačati sigurnost usluge, daljinski pristupiti korisničkim radnim stanicama Ureda ministarstva financija (DO) i dohvatiti neklasificirane dokumente koje ti korisnici održavaju", objasnio je Hardikar u pismu zastupnicima.

Dok su neklasificirani sustavi općenito manje osjetljivi od klasificiranih mreža, njihova kompromitacija i dalje može predstavljati značajan rizik, potencijalno izlažući vladine operacije ili omogućavajući daljnje napade.

U tijeku je koordinirani odgovor

Ministarstvo financija angažiralo je Agenciju za kibernetičku sigurnost i sigurnost infrastrukture (CISA), FBI, obavještajnu zajednicu i privatne forenzičke istražitelje da analiziraju kršenje i procijene njegov učinak. Prema Hardikaru, ove agencije surađuju kako bi osigurale obuzdavanje incidenta i ojačale obranu od budućih prijetnji.

Brza reakcija CISA-e, uparena s odlukom Ministarstva financija da se kompromitirana usluga odmah prekine s mreže, do sada nije otkrila znakove da hakeri još uvijek imaju pristup sustavima odjela.

Iskorištena ranjivost BeyondTrust

BeyondTrust, dobavljač koji je u središtu incidenta, nedavno je izdao zakrpe za kritičnu ranjivost (CVE-2024-12356) u svojim proizvodima Privileged Remote Access (PRA) i Remote Support (RS). Dana 5. prosinca, tvrtka je otkrila da je API ključ za njen Remote Support SaaS bio kompromitiran, što je dovelo do trenutnog gašenja pogođenih instanci i obavijesti pogođenih korisnika.

Kontekst: Širi val kineske cyber špijunaže

Ovaj napad na Ministarstvo financija dolazi usred pojačane zabrinutosti oko veće kineske kampanje kibernetičke špijunaže, pod nadimkom " Slani tajfun ". Ta je kampanja navodno omogućila Pekingu pristup osjetljivim komunikacijama, uključujući tekstualne poruke i telefonske razgovore, koji su uključivali američke građane.

Do kraja prosinca američki dužnosnici potvrdili su da je Salt Typhoon ugrozio devet telekomunikacijskih kompanija. Povreda Ministarstva financija, iako naizgled nepovezana, naglašava opseg i sofisticiranost kibernetičkih operacija koje sponzorira kineska država usmjerenih na američku infrastrukturu i vladine sustave.

Ključni zahvati

Ovaj incident je jasan podsjetnik na kritične ranjivosti koje predstavljaju ovisnosti o softveru trećih strana. Usluge temeljene na oblaku, koje se često smatraju prikladnima i sigurnima, mogu postati prolaz za napadače ako ih se iskorištava.

Organizacije – vladine i privatne – moraju ostati na oprezu, osiguravajući snažne sigurnosne protokole, redovite popravke i sveobuhvatne planove odgovora na incidente. Brzi angažman američke vlade u agencijama za kibernetičku sigurnost naglašava važnost koordiniranog odgovora na kibernetičke prijetnje.

Kako se istraga odvija, jedna je stvar jasna: ulozi kibernetičke sigurnosti veći su nego ikad u eri eskalacije geopolitičkih napetosti i sve sofisticiranijih kibernetičkih napada.