Nilabag ng mga Chinese Hacker ang US Treasury System sa Nakakaalarmang Cybersecurity Incident
Kinumpirma ng US Treasury Department na malayuang na-access ng mga Chinese hackers ang mga departmental workstation at hindi natukoy na mga dokumento sa tinatawag ng mga opisyal na isang "pangunahing insidente sa cybersecurity." Naganap ang paglabag pagkatapos na ikompromiso ng mga hacker ang isang cloud-based na serbisyo na pinamamahalaan ng BeyondTrust, isang kumpanyang nagdadalubhasa sa privileged access management.
Habang kinikilala ng mga opisyal ng Treasury ang kalubhaan ng insidente, ang mga kritikal na detalye ay nananatiling hindi malinaw. Hindi isiniwalat ng departamento ang bilang ng mga workstation na naapektuhan o ang katangian ng mga dokumentong na-access.
Talaan ng mga Nilalaman
Ang Paglabag ay Nakatali sa Advanced na Patuloy na Banta na Nakaugnay sa China
Ang pag-atake, na iniuugnay sa isang grupong Advanced Persistent Threat (APT) na itinataguyod ng estado mula sa China, ay naganap matapos pinagsamantalahan ng mga hacker ang isang ninakaw na API key na ginamit ng BeyondTrust. Ayon kay Aditi Hardikar, Assistant Secretary for Management sa Treasury Department, inabisuhan ng BeyondTrust ang Treasury noong ika-8 ng Disyembre ng kahina-hinalang aktibidad na nauugnay sa cloud-based na technical support service nito.
“Sa pag-access sa ninakaw na susi, nagawang i-override ng threat actor ang seguridad ng serbisyo, malayuang ma-access ang mga workstation ng gumagamit ng Treasury Departmental Offices (DO), at makuha ang mga hindi natukoy na dokumentong pinananatili ng mga user na iyon,” paliwanag ni Hardikar sa isang liham sa mga mambabatas.
Bagama't sa pangkalahatan ay hindi gaanong sensitibo ang mga hindi na-classify na system kaysa sa mga classified na network, ang kanilang kompromiso ay maaari pa ring magdulot ng malaking panganib, na posibleng maglantad sa mga operasyon ng pamahalaan o magpagana ng mga karagdagang pag-atake.
Isinasagawa ang Coordinated Response
Inilista ng Treasury ang Cybersecurity and Infrastructure Security Agency (CISA), ang FBI, ang Intelligence Community, at mga pribadong forensic investigator upang suriin ang paglabag at suriin ang epekto nito. Ayon kay Hardikar, ang mga ahensyang ito ay nakikipagtulungan upang matiyak na ang insidente ay nakapaloob at upang palakasin ang mga depensa laban sa mga banta sa hinaharap.
Ang mabilis na pagtugon ng CISA, na ipinares sa desisyon ng Treasury na agad na gawing offline ang nakompromisong serbisyo, sa ngayon ay hindi nagpahayag ng mga palatandaan na ang mga hacker ay may access pa rin sa mga sistema ng departamento.
Pinagsasamantalahan ang BeyondTrust Vulnerability
Ang BeyondTrust, ang vendor sa gitna ng insidente, ay naglabas kamakailan ng mga patch para sa isang kritikal na kahinaan (CVE-2024-12356) sa mga produkto nitong Privileged Remote Access (PRA) at Remote Support (RS). Noong ika-5 ng Disyembre, natuklasan ng kumpanya na nakompromiso ang isang API key para sa Remote Support SaaS nito, na nag-trigger ng agarang pagsasara ng mga apektadong pagkakataon at abiso sa mga apektadong customer.
Konteksto: Isang Mas Malawak na Alon ng Chinese Cyber Espionage
Ang pag-atake na ito sa Treasury ay nagmumula sa gitna ng mas matinding alalahanin tungkol sa isang mas malaking kampanyang cyberespionage ng China, na binansagang " Bagyo ng Asin ." Ang kampanyang iyon ay naiulat na nagbigay sa Beijing ng access sa mga sensitibong komunikasyon, kabilang ang mga text message at pag-uusap sa telepono, na kinasasangkutan ng mga mamamayang Amerikano.
Noong huling bahagi ng Disyembre, kinumpirma ng mga opisyal ng US na siyam na kumpanya ng telekomunikasyon ang nakompromiso ng Salt Typhoon. Ang paglabag sa Treasury, bagama't tila walang kaugnayan, ay nagha-highlight sa saklaw at pagiging sopistikado ng mga operasyong cyber na inisponsor ng estado ng China na nagta-target sa imprastraktura ng US at mga sistema ng gobyerno.
Mga Pangunahing Takeaway
Ang insidenteng ito ay isang matinding paalala ng mga kritikal na kahinaan na dulot ng mga dependency ng software ng third-party. Ang mga serbisyong nakabatay sa cloud, na kadalasang nakikita bilang maginhawa at secure, ay maaaring maging gateway para sa mga umaatake kung pinagsamantalahan.
Ang mga organisasyon—pamahalaan at pribado—ay dapat manatiling mapagbantay, tinitiyak ang matatag na mga protocol sa seguridad, regular na pag-aayos, at komprehensibong mga plano sa pagtugon sa insidente. Ang mabilis na pakikipag-ugnayan ng gobyerno ng US sa mga ahensya ng cybersecurity ay binibigyang-diin ang kahalagahan ng isang koordinadong tugon sa mga banta sa cyber.
Habang nagbubukas ang pagsisiyasat, isang bagay ang malinaw: Ang mga stake ng cybersecurity ay mas mataas kaysa dati sa panahon ng tumitinding geopolitical tensions at lalong sopistikadong cyberattacks.