Китайские хакеры взломали системы казначейства США, совершив тревожный инцидент кибербезопасности
Министерство финансов США подтвердило, что китайские хакеры получили удаленный доступ к рабочим станциям и несекретным документам департамента, что, по словам чиновников, является «крупным инцидентом кибербезопасности». Нарушение произошло после того, как хакеры взломали облачный сервис, которым управляет компания BeyondTrust, специализирующаяся на управлении привилегированным доступом.
Хотя чиновники казначейства признали серьезность инцидента, критические детали остаются неясными. Департамент не раскрыл количество затронутых рабочих станций или характер документов, к которым был получен доступ.
Оглавление
Нарушение связано с передовой постоянной угрозой, связанной с Китаем
Атака, приписываемая спонсируемой государством группе Advanced Persistent Threat (APT) из Китая, развернулась после того, как хакеры воспользовались украденным ключом API, используемым BeyondTrust. По словам Адити Хардикар, помощника секретаря по управлению в Министерстве финансов, BeyondTrust уведомил Казначейство 8 декабря о подозрительной активности, связанной с его облачной службой технической поддержки.
«Получив доступ к украденному ключу, злоумышленник смог обойти систему безопасности сервиса, получить удаленный доступ к рабочим станциям пользователей Казначейских департаментов (DO) и извлечь несекретные документы, хранящиеся у этих пользователей», — пояснил Хардикар в письме законодателям.
Хотя несекретные системы, как правило, менее уязвимы, чем секретные сети, их взлом все равно может представлять значительный риск, потенциально раскрывая правительственные операции или делая возможными дальнейшие атаки.
Скоординированный ответ в процессе
Казначейство привлекло Агентство по кибербезопасности и безопасности инфраструктуры (CISA), ФБР, разведывательное сообщество и частных судебных следователей для анализа нарушения и оценки его последствий. По словам Хардикара, эти агентства сотрудничают, чтобы обеспечить сдерживание инцидента и укрепить защиту от будущих угроз.
Оперативная реакция CISA в сочетании с решением Министерства финансов немедленно отключить взломанный сервис пока не выявили никаких признаков того, что хакеры все еще имеют доступ к системам ведомства.
Эксплуатация уязвимости BeyondTrust
BeyondTrust, поставщик, находящийся в центре инцидента, недавно выпустил исправления для критической уязвимости (CVE-2024-12356) в своих продуктах Privileged Remote Access (PRA) и Remote Support (RS). 5 декабря компания обнаружила, что ключ API для ее Remote Support SaaS был скомпрометирован, что привело к немедленному отключению затронутых экземпляров и уведомлению затронутых клиентов.
Контекст: более широкая волна китайского кибершпионажа
Эта атака на Казначейство произошла на фоне возросшей обеспокоенности по поводу более масштабной китайской кампании кибершпионажа, получившей название « Соляной тайфун ». Сообщается, что эта кампания предоставила Пекину доступ к конфиденциальным сообщениям, включая текстовые сообщения и телефонные разговоры, в которых участвовали граждане США.
По состоянию на конец декабря американские чиновники подтвердили, что Salt Typhoon скомпрометировал девять телекоммуникационных компаний. Взлом казначейства, хотя, казалось бы, не имеет к этому никакого отношения, подчеркивает масштаб и сложность спонсируемых государством китайских киберопераций, нацеленных на инфраструктуру и правительственные системы США.
Ключевые выводы
Этот инцидент является суровым напоминанием о критических уязвимостях, создаваемых зависимостями стороннего программного обеспечения. Облачные сервисы, часто рассматриваемые как удобные и безопасные, могут стать воротами для злоумышленников, если их эксплуатируют.
Организации — как государственные, так и частные — должны сохранять бдительность, обеспечивая надежные протоколы безопасности, регулярные исправления и комплексные планы реагирования на инциденты. Быстрое привлечение правительством США агентств по кибербезопасности подчеркивает важность скоординированного ответа на киберугрозы.
По мере развития расследования становится ясно одно: ставки в области кибербезопасности высоки как никогда в эпоху эскалации геополитической напряженности и все более изощренных кибератак.