Hackerii chinezi încalcă sistemele de trezorerie americane într-un incident alarmant de securitate cibernetică
Departamentul de Trezorerie al SUA a confirmat că hackerii chinezi au accesat de la distanță stațiile de lucru departamentale și documentele neclasificate în ceea ce oficialii numesc un „incident major de securitate cibernetică”. Încălcarea a avut loc după ce hackerii au compromis un serviciu bazat pe cloud operat de BeyondTrust, o companie specializată în gestionarea accesului privilegiat.
În timp ce oficialii Trezoreriei au recunoscut gravitatea incidentului, detaliile critice rămân neclare. Departamentul nu a dezvăluit numărul de stații de lucru afectate sau natura documentelor accesate.
Cuprins
Încălcare legată de amenințarea persistentă avansată legată de China
Atacul, atribuit unui grup APT (Advanced Persistent Threat) din China, a avut loc după ce hackerii au exploatat o cheie API furată folosită de BeyondTrust. Potrivit lui Aditi Hardikar, secretar adjunct pentru management al Departamentului de Trezorerie, BeyondTrust a notificat Trezoreria pe 8 decembrie cu privire la activități suspecte legate de serviciul său de asistență tehnică bazat pe cloud.
„Cu acces la cheia furată, actorul amenințării a putut să depășească securitatea serviciului, să acceseze de la distanță stațiile de lucru ale utilizatorilor birourilor departamentale de trezorerie (DO) și să recupereze documente neclasificate păstrate de acești utilizatori”, a explicat Hardikar într-o scrisoare către parlamentari.
În timp ce sistemele neclasificate sunt, în general, mai puțin sensibile decât rețelele clasificate, compromisul lor poate reprezenta totuși un risc semnificativ, expunând potențial operațiunile guvernamentale sau permițând alte atacuri.
Răspuns coordonat în curs
Trezoreria a solicitat agenției de securitate cibernetică și de securitate a infrastructurii (CISA), FBI, comunitatea de informații și anchetatori criminaliști privați pentru a analiza încălcarea și a evalua impactul acesteia. Potrivit lui Hardikar, aceste agenții colaborează pentru a se asigura că incidentul este limitat și pentru a consolida apărarea împotriva amenințărilor viitoare.
Răspunsul rapid al CISA, împreună cu decizia Trezoreriei de a scoate imediat serviciul compromis offline, nu a dezvăluit până acum niciun semn că hackerii au încă acces la sistemele departamentale.
Vulnerabilitatea BeyondTrust a fost exploatată
BeyondTrust, furnizorul din centrul incidentului, a lansat recent patch-uri pentru o vulnerabilitate critică (CVE-2024-12356) în produsele sale Privileged Remote Access (PRA) și Remote Support (RS). Pe 5 decembrie, compania a descoperit că o cheie API pentru Remote Support SaaS a fost compromisă, declanșând o oprire imediată a instanțelor afectate și o notificare către clienții afectați.
Context: Un val mai larg de spionaj cibernetic chinezesc
Acest atac asupra Trezoreriei vine pe fondul îngrijorărilor sporite cu privire la o campanie mai amplă de spionaj cibernetic chinezesc, poreclit „ Taifunul de sare ”. Se pare că această campanie a acordat Beijingului acces la comunicații sensibile, inclusiv mesaje text și conversații telefonice, care implică cetățeni americani.
Până la sfârșitul lunii decembrie, oficialii americani au confirmat că nouă companii de telecomunicații au fost compromise de Salt Typhoon. Încălcarea Trezoreriei, deși aparent nu are legătură, evidențiază amploarea și sofisticarea operațiunilor cibernetice sponsorizate de stat chinez care vizează infrastructura și sistemele guvernamentale din SUA.
Recomandări cheie
Acest incident este un memento puternic al vulnerabilităților critice reprezentate de dependențele de software terță parte. Serviciile bazate pe cloud, adesea considerate convenabile și sigure, pot deveni o poartă de acces pentru atacatori dacă sunt exploatate.
Organizațiile – guvernamentale și private deopotrivă – trebuie să rămână vigilente, asigurând protocoale de securitate robuste, corecții regulate și planuri cuprinzătoare de răspuns la incidente. Angajamentul rapid al agențiilor de securitate cibernetică a guvernului SUA subliniază importanța unui răspuns coordonat la amenințările cibernetice.
Pe măsură ce ancheta se desfășoară, un lucru este clar: mizele securității cibernetice sunt mai mari ca niciodată într-o eră a tensiunilor geopolitice în creștere și a atacurilor cibernetice din ce în ce mai sofisticate.