Chinese hackers breken in op systemen van Amerikaanse schatkist in alarmerend cyberbeveiligingsincident
Het Amerikaanse ministerie van Financiën heeft bevestigd dat Chinese hackers op afstand toegang hebben gekregen tot werkstations van de afdeling en niet-geclassificeerde documenten in wat ambtenaren een "groot cyberbeveiligingsincident" noemen. De inbreuk vond plaats nadat hackers een cloudgebaseerde service van BeyondTrust, een bedrijf dat gespecialiseerd is in privileged access management, hadden gecompromitteerd.
Hoewel ambtenaren van Treasury de ernst van het incident erkennen, blijven cruciale details onduidelijk. Het departement heeft het aantal getroffen werkstations of de aard van de geraadpleegde documenten niet bekendgemaakt.
Inhoudsopgave
Inbreuk gekoppeld aan geavanceerde aanhoudende dreiging in China
De aanval, toegeschreven aan een door de staat gesponsorde Advanced Persistent Threat (APT) groep uit China, vond plaats nadat de hackers een gestolen API-sleutel hadden misbruikt die door BeyondTrust werd gebruikt. Volgens Aditi Hardikar, Assistant Secretary for Management bij het ministerie van Financiën, heeft BeyondTrust het ministerie van Financiën op 8 december op de hoogte gesteld van verdachte activiteiten die verband hielden met zijn cloudgebaseerde technische ondersteuningsservice.
"Met toegang tot de gestolen sleutel kon de dreigingsactor de beveiliging van de dienst omzeilen, op afstand toegang krijgen tot de werkstations van gebruikers van de Treasury Departmental Offices (DO) en niet-geclassificeerde documenten ophalen die door die gebruikers werden beheerd", legde Hardikar uit in een brief aan wetgevers.
Hoewel niet-geclassificeerde systemen over het algemeen minder gevoelig zijn dan geclassificeerde netwerken, kunnen ze toch een aanzienlijk risico vormen. Ze kunnen overheidsactiviteiten blootstellen of verdere aanvallen mogelijk maken.
Gecoördineerde respons gaande
Het ministerie van Financiën heeft de Cybersecurity and Infrastructure Security Agency (CISA), de FBI, de Intelligence Community en particuliere forensische onderzoekers ingeschakeld om de inbreuk te analyseren en de impact ervan te beoordelen. Volgens Hardikar werken deze instanties samen om ervoor te zorgen dat het incident wordt ingedamd en om de verdediging tegen toekomstige bedreigingen te versterken.
De snelle reactie van CISA, gecombineerd met het besluit van het ministerie van Financiën om de gecompromitteerde dienst onmiddellijk offline te halen, heeft tot nu toe geen tekenen opgeleverd dat de hackers nog steeds toegang hebben tot de systemen van het ministerie.
BeyondTrust kwetsbaarheid misbruikt
BeyondTrust, de leverancier die centraal stond in het incident, heeft onlangs patches uitgegeven voor een kritieke kwetsbaarheid (CVE-2024-12356) in zijn Privileged Remote Access (PRA) en Remote Support (RS) producten. Op 5 december ontdekte het bedrijf dat een API-sleutel voor zijn Remote Support SaaS was gecompromitteerd, wat leidde tot een onmiddellijke afsluiting van de getroffen instanties en een melding aan de getroffen klanten.
Context: Een bredere golf van Chinese cyberspionage
Deze aanval op het ministerie van Financiën komt op een moment dat er steeds meer zorgen zijn over een grotere Chinese cyberespionagecampagne, met de bijnaam ' Salt Typhoon '. Die campagne zou Peking toegang hebben gegeven tot gevoelige communicatie, waaronder sms-berichten en telefoongesprekken met Amerikaanse burgers.
Eind december bevestigden Amerikaanse functionarissen dat negen telecommunicatiebedrijven waren gecompromitteerd door Salt Typhoon. De Treasury-inbreuk, hoewel ogenschijnlijk niet gerelateerd, benadrukt de omvang en verfijning van door de Chinese staat gesponsorde cyberoperaties die gericht zijn op Amerikaanse infrastructuur en overheidssystemen.
Belangrijkste punten
Dit incident is een harde herinnering aan de kritieke kwetsbaarheden die worden veroorzaakt door software-afhankelijkheden van derden. Cloudgebaseerde services, vaak gezien als handig en veilig, kunnen een gateway worden voor aanvallers als ze worden uitgebuit.
Organisaties, zowel overheids- als privéorganisaties, moeten waakzaam blijven en zorgen voor robuuste beveiligingsprotocollen, regelmatige patching en uitgebreide incidentresponsplannen. De snelle betrokkenheid van de Amerikaanse overheid bij cybersecurity-instanties onderstreept het belang van een gecoördineerde reactie op cyberdreigingen.
Naarmate het onderzoek vordert, wordt één ding duidelijk: de inzet van cyberveiligheid is hoger dan ooit, in een tijdperk van toenemende geopolitieke spanningen en steeds geavanceerdere cyberaanvallen.