Кинески хакери проваљују системе трезора САД у алармантном инциденту сајбер безбедности
Америчко министарство финансија потврдило је да су кинески хакери даљински приступали радним станицама одељења и некласификованим документима у, како званичници називају, „великим инцидентом у сајбер безбедности“. До повреде је дошло након што су хакери компромитовали услугу засновану на облаку којом управља БеиондТруст, компанија специјализована за управљање привилегованим приступом.
Иако су званичници Трезора признали озбиљност инцидента, критични детаљи остају нејасни. Одељење није открило број радних станица на које је то утицало нити природу докумената којима је приступљено.
Преглед садржаја
Кршење повезано са напредном трајном претњом повезаном са Кином
Напад, који се приписује групи за напредну трајну претњу (АПТ) коју спонзорише држава из Кине, одиграо се након што су хакери искористили украдени АПИ кључ који користи БеиондТруст. Према Адити Хардикару, помоћнику секретара за управљање у Министарству финансија, БеиондТруст је 8. децембра обавестио Трезор о сумњивим активностима везаним за његову услугу техничке подршке засноване на облаку.
„Са приступом украденом кључу, актер претње је могао да надјача безбедност услуге, даљински приступи корисничким радним станицама Министарства финансија (ДО) и преузме некласификоване документе које су одржавали ти корисници“, објаснио је Хардикар у писму посланицима.
Иако су некласификовани системи генерално мање осетљиви од класификованих мрежа, њихов компромис и даље може представљати значајан ризик, потенцијално излажући владине операције или омогућавајући даље нападе.
Координирани одговор је у току
Трезор је ангажовао Агенцију за сајбер безбедност и инфраструктурну безбедност (ЦИСА), ФБИ, обавештајну заједницу и приватне форензичке истражитеље да анализирају кршење и процене његов утицај. Према Хардикаровим речима, ове агенције сарађују како би осигурале обуздавање инцидента и ојачале одбрану од будућих претњи.
Брз одговор ЦИСА-е, упарен са одлуком Министарства финансија да одмах искључи угрожену услугу, до сада није открио знакове да хакери и даље имају приступ системима одељења.
Експлоатисана рањивост БеиондТруст
БеиондТруст, продавац у срцу инцидента, недавно је издао закрпе за критичну рањивост (ЦВЕ-2024-12356) у својим производима за привилеговани даљински приступ (ПРА) и даљинску подршку (РС). Компанија је 5. децембра открила да је АПИ кључ за њен СааС за удаљену подршку компромитован, што је изазвало тренутно гашење погођених инстанци и обавештење погођеним клијентима.
Контекст: Шири талас кинеске сајбер шпијунаже
Овај напад на Трезор долази усред повећане забринутости око веће кинеске сајбер шпијунажне кампање, назване „ Тајфун соли “. Та кампања је наводно омогућила Пекингу приступ осетљивој комуникацији, укључујући текстуалне поруке и телефонске разговоре, који укључују америчке грађане.
Од краја децембра, амерички званичници су потврдили да је девет телекомуникационих компанија компромитовано Салт Типхоон-ом. Кршење Трезора, иако наизглед неповезано, наглашава обим и софистицираност сајбер операција које спонзорише кинеска држава, а које циљају на америчку инфраструктуру и владине системе.
Кеи Такеаваис
Овај инцидент је оштар подсетник на критичне рањивости које представљају зависности од софтвера трећих страна. Услуге засноване на облаку, које се често сматрају погодним и безбедним, могу постати капија за нападаче ако буду искоришћене.
Организације — владине и приватне — морају остати будне, обезбеђујући робусне безбедносне протоколе, редовно закрпе и свеобухватне планове за реаговање на инциденте. Брзо ангажовање агенција за сајбер безбедност од стране америчке владе наглашава важност координисаног одговора на сајбер претње.
Како се истрага одвија, једно је јасно: улози сајбер безбедности су већи него икада у ери ескалације геополитичких тензија и све софистициранијих сајбер напада.