Kínai hackerek feltörték az Egyesült Államok kincstári rendszereit egy riasztó kiberbiztonsági incidensben
Az Egyesült Államok Pénzügyminisztériuma megerősítette, hogy a kínai hackerek távolról hozzáfértek a minisztériumi munkaállomásokhoz és nem minősített dokumentumokhoz, amelyeket a tisztviselők „jelentős kiberbiztonsági incidensnek” neveznek. A jogsértés azután történt, hogy hackerek feltörték a BeyondTrust, a privilegizált hozzáférés-kezelésre szakosodott cég felhőalapú szolgáltatását.
Noha a pénzügyminisztérium tisztviselői elismerték az incidens súlyosságát, a kritikus részletek továbbra sem tisztázottak. A részleg nem hozta nyilvánosságra az érintett munkaállomások számát vagy a hozzáfért dokumentumok jellegét.
Tartalomjegyzék
A Kínához köthető előrehaladott, tartós fenyegetéshez kötődő jogsértés
A támadás egy államilag támogatott kínai Advanced Persistent Threat (APT) csoportnak tulajdonítható, miután a hackerek kihasználták a BeyondTrust által használt ellopott API-kulcsot. Aditi Hardikar, a Pénzügyminisztérium menedzsmentért felelős helyettes titkára szerint a BeyondTrust december 8-án értesítette a Pénzügyminisztériumot a felhőalapú technikai támogatási szolgáltatásához kapcsolódó gyanús tevékenységről.
„Az ellopott kulcshoz való hozzáféréssel a fenyegetés szereplője felülbírálhatta a szolgáltatás biztonságát, távolról hozzáférhetett a Pénzügyminisztérium (DO) felhasználói munkaállomásaihoz, és lekérhette a felhasználók által kezelt, minősítetlen dokumentumokat” – magyarázta Hardikar a törvényhozóknak írt levelében.
Míg a nem minősített rendszerek általában kevésbé érzékenyek, mint a minősített hálózatok, kompromittálásuk továbbra is jelentős kockázatot jelenthet, felfedve a kormányzati műveleteket vagy további támadásokat tesz lehetővé.
Koordinált válaszadás folyamatban
A Pénzügyminisztérium a Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökséget (CISA), az FBI-t, az Intelligence Communityt és a törvényszéki magánnyomozókat kérte fel a jogsértés elemzésére és hatásának felmérésére. Hardikar szerint ezek az ügynökségek együttműködnek az incidens megfékezése és a jövőbeli fenyegetések elleni védekezés megerősítése érdekében.
A CISA gyors reagálása, valamint a Pénzügyminisztérium azon döntése, hogy azonnal offline állapotba helyezi a kompromittált szolgáltatást, egyelőre nem mutatott arra utaló jeleket, hogy a hackerek továbbra is hozzáférnének az osztályok rendszereihez.
BeyondTrust sebezhetőség kihasználva
A BeyondTrust, az incidens középpontjában álló szállító a közelmúltban javításokat adott ki a Privileged Remote Access (PRA) és a Remote Support (RS) termékei kritikus sérülésére (CVE-2024-12356). December 5-én a vállalat felfedezte, hogy a Remote Support SaaS egyik API-kulcsát feltörték, ami az érintett példányok azonnali leállítását és az érintett ügyfelek értesítését váltotta ki.
Kontextus: A kínai kiberkémkedés szélesebb hulláma
A pénzügyminisztérium elleni támadásra a „ Sótájfun ” becenévre hallgató nagyobb kínai kiberkémkampány miatti fokozott aggodalmak közepette került sor. Ez a kampány állítólag hozzáférést biztosított Pekingnek az amerikai állampolgárokat érintő érzékeny kommunikációhoz, beleértve a szöveges üzeneteket és a telefonbeszélgetéseket.
December végén az amerikai tisztviselők megerősítették, hogy kilenc távközlési vállalatot kompromittált a Salt Typhoon. A pénzügyminisztérium megsértése, bár látszólag nincs összefüggésben, rávilágít a kínai állam által támogatott kiberműveletek hatókörére és kifinomultságára, amelyek az Egyesült Államok infrastruktúráját és kormányzati rendszereit célozzák.
Kulcs elvitelek
Ez az incidens határozottan emlékeztet a harmadik féltől származó szoftverfüggőségek által okozott kritikus sebezhetőségekre. A gyakran kényelmesnek és biztonságosnak tartott felhő alapú szolgáltatások kihasználásuk esetén átjáróvá válhatnak a támadók számára.
A szervezeteknek – állami és magánszervezeteknek egyaránt – ébernek kell maradniuk, megbízható biztonsági protokollokat, rendszeres javításokat és átfogó incidens-elhárítási terveket biztosítva. Az Egyesült Államok kormányának a kiberbiztonsági ügynökségek gyors bevonása rámutat a kiberfenyegetésekre adott összehangolt válaszadás fontosságára.
A nyomozás előrehaladtával egy dolog világos: a kiberbiztonság tétje minden eddiginél nagyobb a fokozódó geopolitikai feszültségek és az egyre kifinomultabb kibertámadások korszakában.