Китайські хакери зламали системи казначейства США через тривожний інцидент із кібербезпекою
Міністерство фінансів США підтвердило, що китайські хакери отримали віддалений доступ до робочих станцій відомства та несекретних документів, що офіційні особи називають «великим інцидентом кібербезпеки». Злом стався після того, як хакери скомпрометували хмарний сервіс, яким керує BeyondTrust, компанія, що спеціалізується на управлінні привілейованим доступом.
Хоча офіційні особи Міністерства фінансів визнали серйозність інциденту, важливі деталі залишаються незрозумілими. Департамент не розкриває кількість постраждалих робочих станцій або характер документів, до яких був доступ.
Зміст
Порушення, пов’язане з розширеною постійною загрозою, пов’язаною з Китаєм
Атака, яку приписують спонсорованій державою групі Advanced Persistent Threat (APT) з Китаю, розгорнулася після того, як хакери використали вкрадений ключ API, який використовував BeyondTrust. За словами Адіті Хардікар, помічника секретаря з питань менеджменту Міністерства фінансів, BeyondTrust повідомила Міністерство фінансів 8 грудня про підозрілу активність, пов’язану з його хмарною службою технічної підтримки.
«Отримавши доступ до викраденого ключа, зловмисник зміг перевизначити безпеку служби, віддалено отримати доступ до робочих станцій користувачів відділу фінансів (DO) і отримати несекретні документи, які зберігаються цими користувачами», — пояснив Хардікар у листі до законодавців.
Хоча некласифіковані системи, як правило, менш чутливі, ніж секретні мережі, їх компрометація все одно може становити значний ризик, потенційно викриваючи урядові операції або сприяючи подальшим атакам.
Триває скоординована відповідь
Міністерство фінансів залучило Агентство з кібербезпеки та безпеки інфраструктури (CISA), ФБР, розвідувальну спільноту та приватних судових слідчих для аналізу злому та оцінки його впливу. За словами Хардікара, ці агентства співпрацюють, щоб забезпечити локалізацію інциденту та зміцнити захист від майбутніх загроз.
Швидка реакція CISA в поєднанні з рішенням Міністерства фінансів негайно вимкнути скомпрометовану службу в автономному режимі наразі не виявила жодних ознак того, що хакери все ще мають доступ до відомчих систем.
Використовується вразливість BeyondTrust
BeyondTrust, постачальник, який став причиною інциденту, нещодавно випустив виправлення для критичної вразливості (CVE-2024-12356) у своїх продуктах Privileged Remote Access (PRA) і Remote Support (RS). 5 грудня компанія виявила, що ключ API для її Remote Support SaaS був скомпрометований, що спричинило негайне припинення роботи інсталяцій і повідомлення постраждалих клієнтів.
Контекст: ширша хвиля китайського кібершпигунства
Ця атака на Міністерство фінансів сталася на тлі підвищеної стурбованості з приводу масштабної китайської кампанії кібершпигунства під назвою « Соляний тайфун ». Повідомляється, що ця кампанія надала Пекіну доступ до конфіденційних комунікацій, включаючи текстові повідомлення та телефонні розмови, за участю американських громадян.
Станом на кінець грудня офіційні особи США підтвердили, що дев'ять телекомунікаційних компаній були скомпрометовані Salt Typhoon. Порушення в казначействі, хоч і здається не пов’язаним, підкреслює масштаб і складність фінансованих Китаєм державних кібероперацій, націлених на інфраструктуру та урядові системи США.
Ключові висновки
Цей інцидент є яскравим нагадуванням про критичні вразливості, створені залежностями стороннього програмного забезпечення. Хмарні сервіси, які часто вважаються зручними та безпечними, можуть стати шлюзом для зловмисників, якщо їх використають.
Організації — як державні, так і приватні — повинні залишатися пильними, забезпечуючи надійні протоколи безпеки, регулярні виправлення та комплексні плани реагування на інциденти. Швидке залучення урядом США агенцій з кібербезпеки підкреслює важливість скоординованої відповіді на кіберзагрози.
У ході розслідування стає зрозумілим одне: ставки на кібербезпеку вищі, ніж будь-коли, в епоху ескалації геополітичної напруженості та все більш витончених кібератак.