Kinesiska hackare bryter mot USA:s finanssystem i en alarmerande cybersäkerhetsincident
Det amerikanska finansdepartementet har bekräftat att kinesiska hackare fjärråtkomst till avdelningars arbetsstationer och oklassificerade dokument i vad tjänstemän kallar en "stor cybersäkerhetsincident." Intrånget inträffade efter att hackare äventyrade en molnbaserad tjänst som drivs av BeyondTrust, ett företag som specialiserat sig på privilegierad åtkomsthantering.
Medan finanstjänstemän erkände allvaret av händelsen, är kritiska detaljer fortfarande oklara. Avdelningen har inte avslöjat hur många arbetsstationer som påverkas eller vilken typ av dokument som åtkomst till.
Innehållsförteckning
Överträdelse kopplat till Kina-kopplat avancerat ihållande hot
Attacken, som tillskrivs en statligt sponsrad Advanced Persistent Threat (APT)-grupp från Kina, utvecklades efter att hackarna utnyttjade en stulen API-nyckel som användes av BeyondTrust. Enligt Aditi Hardikar, assisterande ledningssekreterare vid finansdepartementet, meddelade BeyondTrust finansministeriet den 8 december om misstänkt aktivitet kopplad till dess molnbaserade tekniska supporttjänst.
"Med tillgång till den stulna nyckeln kunde hotaktören åsidosätta tjänstens säkerhet, fjärråtkomst till Treasury Departmental Offices (DO) användararbetsstationer och hämta oklassificerade dokument som underhålls av dessa användare", förklarade Hardikar i ett brev till lagstiftare.
Även om oklassificerade system i allmänhet är mindre känsliga än klassificerade nätverk, kan deras kompromiss fortfarande utgöra en betydande risk, potentiellt exponera statlig verksamhet eller möjliggöra ytterligare attacker.
Samordnade insatser pågår
Finansministeriet har anlitat Cybersecurity and Infrastructure Security Agency (CISA), FBI, Intelligence Community och privata kriminaltekniska utredare för att analysera intrånget och bedöma dess konsekvenser. Enligt Hardikar samarbetar dessa byråer för att säkerställa att incidenten begränsas och för att stärka försvaret mot framtida hot.
CISA:s snabba respons, tillsammans med finansministeriets beslut att omedelbart ta den komprometterade tjänsten offline, har hittills inte avslöjat några tecken på att hackarna fortfarande har tillgång till avdelningssystem.
BeyondTrust sårbarhet utnyttjas
BeyondTrust, leverantören i hjärtat av incidenten, utfärdade nyligen patchar för en kritisk sårbarhet (CVE-2024-12356) i sina produkter Privileged Remote Access (PRA) och Remote Support (RS). Den 5 december upptäckte företaget att en API-nyckel för dess Remote Support SaaS hade äventyrats, vilket utlöste en omedelbar avstängning av berörda instanser och meddelande till berörda kunder.
Sammanhang: En bredare våg av kinesiskt cyberspionage
Denna attack mot statskassan kommer mitt i ökad oro över en större kinesisk cyberspionagekampanj, med smeknamnet " Salttyfon ". Kampanjen gav enligt uppgift Peking tillgång till känslig kommunikation, inklusive textmeddelanden och telefonsamtal, som involverade amerikanska medborgare.
I slutet av december bekräftade amerikanska tjänstemän att nio telekommunikationsföretag hade äventyrats av Salt Typhoon. Treasury-intrånget, även om det till synes orelaterade, belyser omfattningen och sofistikeringen av kinesiska statligt sponsrade cyberoperationer riktade mot USA:s infrastruktur och statliga system.
Viktiga takeaways
Den här incidenten är en skarp påminnelse om de kritiska sårbarheterna som orsakas av beroenden av programvara från tredje part. Molnbaserade tjänster, som ofta ses som bekväma och säkra, kan bli en gateway för angripare om de utnyttjas.
Organisationer – såväl statliga som privata – måste förbli vaksamma och säkerställa robusta säkerhetsprotokoll, regelbunden patchning och omfattande incidentresponsplaner. Den amerikanska regeringens snabba engagemang av cybersäkerhetsbyråer understryker vikten av ett samordnat svar på cyberhot.
När utredningen utvecklas är en sak klar: Insatserna för cybersäkerhet är högre än någonsin i en tid av eskalerande geopolitiska spänningar och allt mer sofistikerade cyberattacker.