Kitajski hekerji v zaskrbljujočem kibernetskem incidentu vdrli v sisteme ameriške zakladnice
Ministrstvo za finance ZDA je potrdilo, da so kitajski hekerji na daljavo dostopali do delovnih postaj oddelkov in nezaupnih dokumentov, kar uradniki imenujejo "velik kibernetski varnostni incident". Do kršitve je prišlo, potem ko so hekerji ogrozili storitev v oblaku, ki jo upravlja BeyondTrust, podjetje, specializirano za upravljanje privilegiranega dostopa.
Čeprav so uradniki finančnega ministrstva priznali resnost incidenta, kritične podrobnosti ostajajo nejasne. Oddelek ni razkril števila prizadetih delovnih postaj ali narave dokumentov, do katerih je dostopal.
Kazalo
Kršitev, povezana z napredno trajno grožnjo, povezano s Kitajsko
Napad, ki ga pripisujejo državno sponzorirani skupini Advanced Persistent Threat (APT) iz Kitajske, se je zgodil po tem, ko so hekerji izkoristili ukradeni ključ API, ki ga uporablja BeyondTrust. Po besedah Aditi Hardikar, pomočnice sekretarja za upravljanje na ministrstvu za finance, je BeyondTrust 8. decembra obvestil ministrstvo za finance o sumljivi dejavnosti, povezani z njegovo storitvijo tehnične podpore v oblaku.
"Z dostopom do ukradenega ključa je akter grožnje lahko preglasil varnost storitve, oddaljen dostopal do uporabniških delovnih postaj ministrstva za finance (DO) in pridobil nezaupne dokumente, ki jih vzdržujejo ti uporabniki," je pojasnil Hardikar v pismu zakonodajalcem.
Medtem ko so nerazvrščeni sistemi na splošno manj občutljivi kot tajna omrežja, lahko njihova ogroženost še vedno predstavlja veliko tveganje, saj lahko razkrije vladne operacije ali omogoči nadaljnje napade.
Usklajen odziv poteka
Ministrstvo za finance je vključilo Agencijo za kibernetsko varnost in varnost infrastrukture (CISA), FBI, obveščevalno skupnost in zasebne forenzične preiskovalce, da analizirajo kršitev in ocenijo njen vpliv. Po besedah Hardikarja te agencije sodelujejo, da bi zagotovile omejitev incidenta in okrepile obrambo pred prihodnjimi grožnjami.
Hiter odziv CISA, skupaj z odločitvijo ministrstva za finance, da ogroženo storitev nemudoma prekine brez povezave, do zdaj ni razkril nobenih znakov, da imajo hekerji še vedno dostop do sistemov oddelkov.
Izkoriščena ranljivost BeyondTrust
BeyondTrust, prodajalec v središču incidenta, je pred kratkim izdal popravke za kritično ranljivost (CVE-2024-12356) v svojih izdelkih Privileged Remote Access (PRA) in Remote Support (RS). 5. decembra je podjetje odkrilo, da je bil ključ API-ja za njegovo oddaljeno podporo SaaS ogrožen, kar je sprožilo takojšnjo zaustavitev prizadetih primerkov in obvestilo prizadetim strankam.
Kontekst: Širši val kitajskega kibernetskega vohunjenja
Ta napad na ministrstvo za finance se je zgodil sredi povečane zaskrbljenosti glede večje kitajske kampanje kibernetskega vohunjenja z vzdevkom " Slani tajfun ". Ta kampanja naj bi Pekingu omogočila dostop do občutljivih komunikacij, vključno s sporočili SMS in telefonskimi pogovori, v katere so bili vpleteni ameriški državljani.
Do konca decembra so ameriški uradniki potrdili, da je Salt Typhoon ogrožal devet telekomunikacijskih podjetij. Kršitev ministrstva za finance, čeprav navidezno nepovezana, poudarja obseg in prefinjenost kibernetskih operacij, ki jih sponzorira kitajska država in ciljajo na infrastrukturo ZDA in vladne sisteme.
Ključni zaključki
Ta dogodek je močan opomin na kritične ranljivosti, ki jih predstavljajo odvisnosti programske opreme tretjih oseb. Storitve v oblaku, ki se pogosto obravnavajo kot priročne in varne, lahko postanejo prehod za napadalce, če jih izkoristijo.
Organizacije – tako vladne kot zasebne – morajo ostati pazljive in zagotoviti zanesljive varnostne protokole, redne popravke in celovite načrte za odzivanje na incidente. Hitra vključitev agencij za kibernetsko varnost s strani vlade ZDA poudarja pomen usklajenega odziva na kibernetske grožnje.
Ko se preiskava odvija, je ena stvar jasna: vložki kibernetske varnosti so višji kot kdaj koli prej v dobi stopnjevanja geopolitičnih napetosti in vse bolj sofisticiranih kibernetskih napadov.