Kinesiske hackere bryter amerikanske finanssystemer i alarmerende cybersikkerhetshendelse
Det amerikanske finansdepartementet har bekreftet at kinesiske hackere fikk ekstern tilgang til avdelingsarbeidsstasjoner og uklassifiserte dokumenter i det tjenestemenn kaller en «stor cybersikkerhetshendelse». Bruddet skjedde etter at hackere kompromitterte en skybasert tjeneste drevet av BeyondTrust, et selskap som spesialiserer seg på privilegert tilgangsadministrasjon.
Mens finansmyndighetene erkjente alvorlighetsgraden av hendelsen, er kritiske detaljer fortsatt uklare. Avdelingen har ikke avslørt antall berørte arbeidsstasjoner eller arten av dokumentene man har tilgang til.
Innholdsfortegnelse
Brudd knyttet til Kina-knyttet avansert vedvarende trussel
Angrepet, tilskrevet en statsstøttet Advanced Persistent Threat (APT)-gruppe fra Kina, utspant seg etter at hackerne utnyttet en stjålet API-nøkkel brukt av BeyondTrust. I følge Aditi Hardikar, assisterende sekretær for ledelse ved finansdepartementet, varslet BeyondTrust finansdepartementet 8. desember om mistenkelig aktivitet knyttet til den skybaserte tekniske støttetjenesten.
"Med tilgang til den stjålne nøkkelen, var trusselaktøren i stand til å overstyre tjenestens sikkerhet, ekstern tilgang til Treasury Departmental Offices (DO) brukerarbeidsstasjoner og hente uklassifiserte dokumenter vedlikeholdt av disse brukerne," forklarte Hardikar i et brev til lovgivere.
Mens uklassifiserte systemer generelt er mindre følsomme enn klassifiserte nettverk, kan kompromissene deres fortsatt utgjøre en betydelig risiko, potensielt avsløre statlige operasjoner eller muliggjøre ytterligere angrep.
Samordnet innsats i gang
Treasury har vervet Cybersecurity and Infrastructure Security Agency (CISA), FBI, etterretningssamfunnet og private rettsmedisinske etterforskere for å analysere bruddet og vurdere konsekvensen. Ifølge Hardikar samarbeider disse byråene for å sikre at hendelsen holdes inne og for å styrke forsvaret mot fremtidige trusler.
CISAs raske respons, sammen med finansdepartementets beslutning om umiddelbart å ta den kompromitterte tjenesten offline, har så langt ikke avslørt noen tegn på at hackerne fortsatt har tilgang til avdelingssystemer.
BeyondTrust-sårbarhet utnyttet
BeyondTrust, leverandøren i hjertet av hendelsen, ga nylig ut oppdateringer for en kritisk sårbarhet (CVE-2024-12356) i produktene sine Privileged Remote Access (PRA) og Remote Support (RS). Den 5. desember oppdaget selskapet at en API-nøkkel for dens Remote Support SaaS hadde blitt kompromittert, noe som utløste en umiddelbar nedleggelse av berørte forekomster og varsling til berørte kunder.
Kontekst: En bredere bølge av kinesisk cyberspionasje
Dette angrepet på statskassen kommer midt i økte bekymringer om en større kinesisk cyberspionasjekampanje, med kallenavnet " Salttyfonen ". Denne kampanjen ga angivelig Beijing tilgang til sensitiv kommunikasjon, inkludert tekstmeldinger og telefonsamtaler, som involverte amerikanske borgere.
I slutten av desember bekreftet amerikanske tjenestemenn at ni telekommunikasjonsselskaper var blitt kompromittert av Salt Typhoon. Treasury-bruddet, selv om det tilsynelatende ikke er relatert, fremhever omfanget og sofistikeringen av kinesisk statsstøttede cyberoperasjoner rettet mot USAs infrastruktur og offentlige systemer.
Viktige takeaways
Denne hendelsen er en sterk påminnelse om de kritiske sårbarhetene som utgjøres av tredjeparts programvareavhengigheter. Skybaserte tjenester, ofte sett på som praktiske og sikre, kan bli en inngangsport for angripere hvis de utnyttes.
Organisasjoner – både offentlige og private – må være årvåkne, og sikre robuste sikkerhetsprotokoller, regelmessig oppdatering og omfattende responsplaner for hendelser. Den amerikanske regjeringens raske engasjement fra cybersikkerhetsbyråer understreker viktigheten av en koordinert respons på cybertrusler.
Etter hvert som etterforskningen utfolder seg, er én ting klart: innsatsen for nettsikkerhet er høyere enn noen gang i en tid med eskalerende geopolitiske spenninger og stadig mer sofistikerte nettangrep.