Čínski hackeri porušili americké pokladničné systémy pri alarmujúcom incidente v oblasti kybernetickej bezpečnosti
Americké ministerstvo financií potvrdilo, že čínski hackeri sa na diaľku dostali k pracovným staniciam a neutajovaným dokumentom v rezorte, čo úradníci nazývajú „veľký incident v oblasti kybernetickej bezpečnosti“. K porušeniu došlo po tom, čo hackeri napadli cloudovú službu prevádzkovanú spoločnosťou BeyondTrust, ktorá sa špecializuje na správu privilegovaného prístupu.
Hoci predstavitelia ministerstva financií uznali závažnosť incidentu, kritické detaily zostávajú nejasné. Oddelenie nezverejnilo počet ovplyvnených pracovných staníc ani povahu sprístupnených dokumentov.
Obsah
Porušenie spojené s pokročilou pretrvávajúcou hrozbou spojenou s Čínou
Útok, ktorý sa pripisuje štátom podporovanej skupine Advanced Persistent Threat (APT) z Číny, sa rozvinul po tom, čo hackeri zneužili ukradnutý kľúč API používaný BeyondTrust. Podľa Aditi Hardikar, námestníčky tajomníka pre riadenie na ministerstve financií, BeyondTrust 8. decembra informovalo ministerstvo financií o podozrivej aktivite spojenej s jej službou technickej podpory založenej na cloude.
„S prístupom k ukradnutému kľúču dokázal aktér hrozby prepísať bezpečnosť služby, na diaľku pristupovať k užívateľským pracovným staniciam ministerstva financií (DO) a získať neutajované dokumenty udržiavané týmito používateľmi,“ vysvetlil Hardikar v liste poslancom.
Zatiaľ čo neklasifikované systémy sú vo všeobecnosti menej citlivé ako utajované siete, ich kompromitácia môže stále predstavovať značné riziko, ktoré môže odhaliť vládne operácie alebo umožniť ďalšie útoky.
Prebieha koordinovaná reakcia
Ministerstvo financií poverilo Agentúru pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA), FBI, spravodajskú komunitu a súkromných forenzných vyšetrovateľov, aby analyzovali porušenie a posúdili jeho dosah. Podľa Hardikara tieto agentúry spolupracujú, aby zabezpečili zvládnutie incidentu a posilnili obranu proti budúcim hrozbám.
Rýchla reakcia CISA spojená s rozhodnutím ministerstva financií okamžite stiahnuť napadnutú službu do režimu offline zatiaľ neodhalila žiadne známky toho, že by hackeri stále mali prístup k systémom oddelení.
Zraniteľnosť BeyondTrust bola zneužitá
BeyondTrust, dodávateľ v centre incidentu, nedávno vydal záplaty pre kritickú zraniteľnosť (CVE-2024-12356) vo svojich produktoch Privileged Remote Access (PRA) a Remote Support (RS). Dňa 5. decembra spoločnosť zistila, že kľúč API pre jej Remote Support SaaS bol napadnutý, čo vyvolalo okamžité vypnutie postihnutých inštancií a oznámenie dotknutým zákazníkom.
Kontext: Širšia vlna čínskej kyberšpionáže
Tento útok na štátnu pokladnicu prichádza v čase zvýšených obáv z rozsiahlejšej čínskej kyberšpionážnej kampane, prezývanej „ soľný tajfún “. Táto kampaň údajne poskytla Pekingu prístup k citlivej komunikácii vrátane textových správ a telefonických rozhovorov s americkými občanmi.
Koncom decembra predstavitelia USA potvrdili, že soľný tajfún kompromitoval deväť telekomunikačných spoločností. Porušenie štátnej pokladnice, aj keď zdanlivo nesúvisí, zdôrazňuje rozsah a sofistikovanosť čínskych štátom sponzorovaných kybernetických operácií zameraných na infraštruktúru a vládne systémy v USA.
Kľúčové informácie
Tento incident je ostrou pripomienkou kritických zraniteľností, ktoré predstavujú softvérové závislosti tretích strán. Cloudové služby, ktoré sa často považujú za pohodlné a bezpečné, sa v prípade zneužitia môžu stať bránou pre útočníkov.
Organizácie – vládne aj súkromné – musia zostať ostražité a musia zabezpečiť robustné bezpečnostné protokoly, pravidelné opravy a komplexné plány reakcie na incidenty. Rýchle zapojenie agentúr kybernetickej bezpečnosti zo strany americkej vlády podčiarkuje dôležitosť koordinovanej reakcie na kybernetické hrozby.
Ako sa vyšetrovanie rozvíja, jedna vec je jasná: kybernetická bezpečnosť je v ére eskalujúceho geopolitického napätia a čoraz sofistikovanejších kybernetických útokov vyššia ako kedykoľvek predtým.