Chińscy hakerzy włamują się do systemów skarbowych USA w alarmującym incydencie cyberbezpieczeństwa
Departament Skarbu USA potwierdził, że chińscy hakerzy uzyskali zdalny dostęp do stacji roboczych departamentu i niejawnych dokumentów, co urzędnicy nazywają „poważnym incydentem cyberbezpieczeństwa”. Naruszenie nastąpiło po tym, jak hakerzy włamali się do usługi w chmurze obsługiwanej przez BeyondTrust, firmę specjalizującą się w zarządzaniu dostępem uprzywilejowanym.
Podczas gdy urzędnicy skarbowi przyznali, że incydent był poważny, kluczowe szczegóły pozostają niejasne. Departament nie ujawnił liczby stanowisk pracy, których to dotyczyło, ani charakteru dokumentów, do których uzyskano dostęp.
Spis treści
Naruszenie bezpieczeństwa związane z zaawansowanym i trwałym zagrożeniem powiązanym z Chinami
Atak, przypisywany sponsorowanej przez państwo grupie Advanced Persistent Threat (APT) z Chin, nastąpił po tym, jak hakerzy wykorzystali skradziony klucz API używany przez BeyondTrust. Według Aditi Hardikar, zastępcy sekretarza ds. zarządzania w Departamencie Skarbu, BeyondTrust powiadomiło Skarb Państwa 8 grudnia o podejrzanej aktywności związanej z jego usługą wsparcia technicznego w chmurze.
„Dzięki dostępowi do skradzionego klucza sprawca zagrożenia był w stanie ominąć zabezpieczenia usługi, uzyskać zdalny dostęp do stacji roboczych użytkowników biur Departamentu Skarbu (DO) i odzyskać niejawne dokumenty przechowywane przez tych użytkowników” – wyjaśnił Hardikar w liście do ustawodawców.
Mimo że systemy jawne są na ogół mniej wrażliwe niż sieci tajne, ich naruszenie może nadal stanowić poważne ryzyko, potencjalnie narażając działalność rządową lub umożliwiając dalsze ataki.
Trwa skoordynowana reakcja
Departament Skarbu zaangażował Agencję Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), FBI, Wspólnotę Wywiadowczą i prywatnych śledczych do analizy naruszenia i oceny jego wpływu. Według Hardikara agencje te współpracują, aby zapewnić powstrzymanie incydentu i wzmocnić obronę przed przyszłymi zagrożeniami.
Szybka reakcja CISA oraz decyzja Departamentu Skarbu o natychmiastowym wyłączeniu naruszonej usługi nie dały jak dotąd żadnych dowodów na to, że hakerzy nadal mają dostęp do systemów departamentalnych.
Wykorzystano lukę w zabezpieczeniach BeyondTrust
BeyondTrust, dostawca będący w centrum incydentu, niedawno wydał poprawki dla krytycznej luki (CVE-2024-12356) w swoich produktach Privileged Remote Access (PRA) i Remote Support (RS). 5 grudnia firma odkryła, że klucz API dla jej Remote Support SaaS został naruszony, co spowodowało natychmiastowe zamknięcie dotkniętych instancji i powiadomienie dotkniętych klientów.
Kontekst: szersza fala chińskiego cybernetycznego szpiegostwa
Ten atak na Skarb Państwa nastąpił w obliczu nasilonych obaw o szerszą chińską kampanię cybernetycznego szpiegostwa, nazywaną „ Salt Tajfun ”. Kampania ta rzekomo przyznała Pekinowi dostęp do poufnych komunikatów, w tym wiadomości tekstowych i rozmów telefonicznych, w których uczestniczyli obywatele amerykańscy.
Pod koniec grudnia urzędnicy USA potwierdzili, że dziewięć firm telekomunikacyjnych zostało naruszonych przez Salt Typhoon. Naruszenie bezpieczeństwa Skarbu Państwa, choć pozornie niezwiązane, podkreśla zakres i wyrafinowanie sponsorowanych przez chińskie państwo cyberoperacji wymierzonych w infrastrukturę i systemy rządowe USA.
Najważniejsze wnioski
Ten incydent jest jaskrawym przypomnieniem krytycznych luk w zabezpieczeniach, jakie stwarzają zależności oprogramowania stron trzecich. Usługi w chmurze, często postrzegane jako wygodne i bezpieczne, mogą stać się bramą dla atakujących, jeśli zostaną wykorzystane.
Organizacje — zarówno rządowe, jak i prywatne — muszą zachować czujność, zapewniając solidne protokoły bezpieczeństwa, regularne łatanie i kompleksowe plany reagowania na incydenty. Szybkie zaangażowanie agencji cyberbezpieczeństwa przez rząd USA podkreśla znaczenie skoordynowanej reakcji na cyberzagrożenia.
W miarę rozwoju śledztwa jasne staje się jedno: stawka w kwestii cyberbezpieczeństwa jest wyższa niż kiedykolwiek wcześniej w erze rosnących napięć geopolitycznych i coraz bardziej wyrafinowanych cyberataków.