Kinijos įsilaužėliai pažeidžia JAV iždo sistemas per nerimą keliantį kibernetinio saugumo incidentą
JAV iždo departamentas patvirtino, kad Kinijos įsilaužėliai nuotoliniu būdu pasiekė departamentų darbo vietas ir neįslaptintus dokumentus, kuriuos pareigūnai vadina „dideliu kibernetinio saugumo incidentu“. Pažeidimas įvyko po to, kai įsilaužėliai sukompromitavo debesijos pagrindu veikiančią paslaugą, kurią valdo bendrovė „BeyondTrust“, kuri specializuojasi privilegijuotosios prieigos valdyme.
Nors iždo pareigūnai pripažino incidento rimtumą, svarbios detalės lieka neaiškios. Departamentas neatskleidė paveiktų darbo vietų skaičiaus ar prieinamų dokumentų pobūdžio.
Turinys
Pažeidimas, susijęs su Kinija susijusia išplėstine nuolatine grėsme
Išpuolis, priskirtas valstybės remiamai Advanced Persistent Threat (APT) grupei iš Kinijos, įvyko po to, kai įsilaužėliai pasinaudojo pavogtu API raktu, kurį naudojo BeyondTrust. Pasak Iždo departamento valdymo sekretoriaus padėjėjos Aditi Hardikar, „BeyondTrust“ gruodžio 8 d. pranešė iždui apie įtartiną veiklą, susijusią su debesijos teikiama techninio palaikymo tarnyba.
„Turėdamas prieigą prie pavogto rakto, grėsmės veikėjas galėjo nepaisyti paslaugos saugumo, nuotoliniu būdu pasiekti Iždo departamento biurų (DO) vartotojų darbo vietas ir gauti tų vartotojų saugomus neįslaptintus dokumentus“, – laiške įstatymų leidėjams paaiškino Hardikaras.
Nors neįslaptintos sistemos paprastai yra mažiau jautrios nei įslaptinti tinklai, jų pažeidimas vis tiek gali kelti didelį pavojų, galintį atskleisti vyriausybės operacijas arba sudaryti sąlygas tolesniems atakoms.
Koordinuotas atsakymas vyksta
Iždas įdarbino Kibernetinio saugumo ir infrastruktūros saugumo agentūrą (CISA), FTB, žvalgybos bendruomenę ir privačius teismo medicinos tyrėjus, kad šie išanalizuoti pažeidimą ir įvertinti jo poveikį. Hardikaro teigimu, šios agentūros bendradarbiauja siekdamos užtikrinti, kad incidentas būtų suvaldytas ir sustiprintų gynybą nuo būsimų grėsmių.
Greitas CISA reagavimas kartu su iždo sprendimu nedelsiant pašalinti pažeistą paslaugą neprisijungus, kol kas neatskleidė jokių požymių, kad įsilaužėliai vis dar turi prieigą prie departamentų sistemų.
BeyondTrust pažeidžiamumas išnaudotas
BeyondTrust, pardavėjas, kurio priežastis buvo incidentas, neseniai išleido pataisas dėl kritinio pažeidžiamumo (CVE-2024-12356) savo privilegijuotosios nuotolinės prieigos (PRA) ir nuotolinio palaikymo (RS) produktuose. Gruodžio 5 d. įmonė sužinojo, kad buvo pažeistas jos nuotolinio palaikymo SaaS API raktas, todėl buvo nedelsiant išjungiami paveikti egzemplioriai ir pranešama paveiktiems klientams.
Kontekstas: platesnė kinų kibernetinio šnipinėjimo banga
Ši ataka prieš iždą kilo dėl padidėjusio susirūpinimo dėl didesnės Kinijos kibernetinio šnipinėjimo kampanijos, pravardžiuojamos „ Druskos taifūnu “. Pranešama, kad ši kampanija suteikė Pekinui prieigą prie jautrių ryšių, įskaitant tekstinius pranešimus ir pokalbius telefonu, kuriuose dalyvavo Amerikos piliečiai.
Gruodžio pabaigoje JAV pareigūnai patvirtino, kad „Salt Typhoon“ pakenkė devynioms telekomunikacijų bendrovėms. Iždo pažeidimas, nors ir atrodo nesusijęs, pabrėžia Kinijos valstybės remiamų kibernetinių operacijų, nukreiptų į JAV infrastruktūrą ir vyriausybės sistemas, mastą ir sudėtingumą.
Key Takeaways
Šis incidentas yra ryškus priminimas apie kritinius pažeidžiamumus, kuriuos sukelia priklausomybės nuo trečiųjų šalių programinės įrangos. Debesis pagrįstos paslaugos, kurios dažnai laikomos patogiomis ir saugiomis, gali tapti vartais užpuolikams, jei jomis pasinaudojama.
Organizacijos – tiek vyriausybinės, tiek privačios – turi išlikti budrios, užtikrinti patikimus saugumo protokolus, reguliarų pataisymą ir išsamius reagavimo į incidentus planus. Greitas JAV vyriausybės įsitraukimas į kibernetinio saugumo agentūras pabrėžia koordinuoto atsako į kibernetines grėsmes svarbą.
Vykstant tyrimui aišku viena: didėjančios geopolitinės įtampos ir vis sudėtingesnių kibernetinių atakų eroje kibernetinio saugumo rizika yra didesnė nei bet kada anksčiau.