Ķīnas hakeri pārkāpj ASV Valsts kases sistēmas satraucošā kiberdrošības incidentā

ASV Valsts kases departaments ir apstiprinājis, ka Ķīnas hakeri attālināti piekļuva departamentu darbstacijām un neklasificētiem dokumentiem, ko amatpersonas sauc par "lielu kiberdrošības incidentu". Pārkāpums notika pēc tam, kad hakeri apdraudēja mākoņa pakalpojumu, ko pārvalda uzņēmums BeyondTrust, kas specializējas priviliģētas piekļuves pārvaldībā.

Lai gan Valsts kases amatpersonas atzina incidenta nopietnību, kritiskās detaļas joprojām nav skaidras. Departaments nav atklājis ietekmēto darbstaciju skaitu vai piekļūto dokumentu veidu.

Pārkāpums saistīts ar ar Ķīnu saistītiem progresīviem pastāvīgiem draudiem

Uzbrukums, ko attiecināja uz valsts sponsorētu Advanced Persistent Threat (APT) grupu no Ķīnas, izvērsās pēc tam, kad hakeri izmantoja nozagto API atslēgu, ko izmantoja BeyondTrust. Saskaņā ar Aditi Hardikara, Valsts kases departamenta sekretāra vietnieces palīgu pārvaldības jautājumos, uzņēmums BeyondTrust 8. decembrī informēja Valsts kasi par aizdomīgām darbībām, kas saistītas ar tā mākoņdatošanas tehniskā atbalsta pakalpojumu.

"Piekļūstot nozagtajai atslēgai, draudu izpildītājs varēja ignorēt pakalpojuma drošību, attālināti piekļūt Valsts kases departamentu biroju (DO) lietotāju darbstacijām un izgūt neklasificētus dokumentus, ko uztur šie lietotāji," vēstulē likumdevējiem paskaidroja Hardikars.

Lai gan neklasificētas sistēmas parasti ir mazāk jutīgas nekā klasificētie tīkli, to kompromitēšana joprojām var radīt ievērojamu risku, potenciāli atklājot valdības darbības vai veicinot turpmākus uzbrukumus.

Notiek koordinēta atbilde

Valsts kase ir piesaistījusi Kiberdrošības un infrastruktūras drošības aģentūru (CISA), FIB, izlūkošanas kopienu un privātus tiesu medicīnas izmeklētājus, lai analizētu pārkāpumu un novērtētu tā ietekmi. Pēc Hardikara teiktā, šīs aģentūras sadarbojas, lai nodrošinātu incidenta ierobežošanu un stiprinātu aizsardzību pret nākotnes draudiem.

CISA ātrā reakcija kopā ar Valsts kases lēmumu nekavējoties izslēgt apdraudēto pakalpojumu bezsaistē, līdz šim nav atklājusi nekādas pazīmes, ka hakeriem joprojām ir piekļuve departamentu sistēmām.

BeyondTrust ievainojamība ir izmantota

Negadījuma pamatā esošais pārdevējs BeyondTrust nesen izdeva ielāpus kritiskai ievainojamībai (CVE-2024-12356) savos priviliģētās attālās piekļuves (PRA) un attālā atbalsta (RS) produktos. 5. decembrī uzņēmums atklāja, ka tā attālā atbalsta SaaS API atslēga ir apdraudēta, izraisot tūlītēju ietekmēto gadījumu izslēgšanu un informēšanu ietekmētajiem klientiem.

Konteksts: plašāks ķīniešu kiberspiegošanas vilnis

Šis uzbrukums Valsts kasei notiek saistībā ar pastiprinātām bažām par lielāku Ķīnas kiberspiegošanas kampaņu ar iesauku " Sāls taifūns ". Tiek ziņots, ka šī kampaņa Pekinai piešķīra piekļuvi sensitīvai saziņai, tostarp īsziņām un telefona sarunām, kurās bija iesaistīti Amerikas pilsoņi.

Decembra beigās ASV amatpersonas apstiprināja, ka Salt Typhoon ir apdraudējis deviņus telekomunikāciju uzņēmumus. Valsts kases pārkāpums, lai gan šķietami nav saistīts, izceļ Ķīnas valsts sponsorēto kiberoperāciju apjomu un sarežģītību, kas vērstas pret ASV infrastruktūru un valdības sistēmām.

Key Takeaways

Šis incidents ir spilgts atgādinājums par kritiskajām ievainojamībām, ko rada trešo pušu programmatūras atkarības. Mākoņpakalpojumi, kas bieži tiek uzskatīti par ērtiem un drošiem, var kļūt par vārteju uzbrucējiem, ja tie tiek izmantoti.

Organizācijām — gan valsts, gan privātajām — ir jāsaglabā modrība, nodrošinot stabilus drošības protokolus, regulāru ielāpu un visaptverošus incidentu reaģēšanas plānus. ASV valdības ātrā iesaistīšanās kiberdrošības aģentūrās uzsver koordinētas reakcijas uz kiberdraudiem nozīmi.

Izmeklēšanas gaitā viens ir skaidrs: kiberdrošības likmes ir augstākas nekā jebkad agrāk, kad pieaug ģeopolitiskā spriedze un arvien sarežģītāki kiberuzbrukumi.