Tin tặc Trung Quốc xâm nhập hệ thống Kho bạc Hoa Kỳ trong sự cố an ninh mạng đáng báo động
Bộ Tài chính Hoa Kỳ đã xác nhận rằng tin tặc Trung Quốc đã truy cập từ xa vào các máy trạm của bộ và các tài liệu chưa được phân loại trong vụ việc mà các quan chức gọi là "sự cố an ninh mạng lớn". Vụ vi phạm xảy ra sau khi tin tặc xâm nhập vào một dịch vụ đám mây do BeyondTrust điều hành, một công ty chuyên về quản lý quyền truy cập đặc quyền.
Trong khi các viên chức Bộ Tài chính thừa nhận mức độ nghiêm trọng của sự cố, các chi tiết quan trọng vẫn chưa rõ ràng. Bộ này chưa tiết lộ số lượng máy trạm bị ảnh hưởng hoặc bản chất của các tài liệu bị truy cập.
Mục lục
Vi phạm liên quan đến mối đe dọa dai dẳng tiên tiến liên quan đến Trung Quốc
Cuộc tấn công, được cho là do một nhóm Đe dọa dai dẳng nâng cao (APT) do nhà nước tài trợ từ Trung Quốc, diễn ra sau khi tin tặc khai thác khóa API bị đánh cắp được BeyondTrust sử dụng. Theo Aditi Hardikar, Trợ lý Bộ trưởng Quản lý tại Bộ Tài chính, BeyondTrust đã thông báo cho Bộ Tài chính vào ngày 8 tháng 12 về hoạt động đáng ngờ liên quan đến dịch vụ hỗ trợ kỹ thuật dựa trên đám mây của mình.
Hardikar giải thích trong một lá thư gửi các nhà lập pháp rằng: “Với quyền truy cập vào khóa bị đánh cắp, kẻ tấn công có thể vượt qua hệ thống bảo mật của dịch vụ, truy cập từ xa vào máy trạm của người dùng tại Văn phòng Bộ Tài chính (DO) và lấy lại các tài liệu chưa được phân loại do những người dùng đó lưu giữ”.
Mặc dù các hệ thống không được phân loại thường ít nhạy cảm hơn các mạng được phân loại, nhưng việc xâm phạm chúng vẫn có thể gây ra rủi ro đáng kể, có khả năng làm lộ các hoạt động của chính phủ hoặc tạo điều kiện cho các cuộc tấn công tiếp theo.
Phản ứng phối hợp đang diễn ra
Bộ Tài chính đã huy động Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), FBI, Cộng đồng Tình báo và các nhà điều tra pháp y tư nhân để phân tích vi phạm và đánh giá tác động của nó. Theo Hardikar, các cơ quan này đang hợp tác để đảm bảo sự cố được ngăn chặn và tăng cường phòng thủ chống lại các mối đe dọa trong tương lai.
Phản ứng nhanh chóng của CISA, cùng với quyết định của Bộ Tài chính về việc ngay lập tức ngắt dịch vụ bị xâm phạm, cho đến nay vẫn chưa phát hiện dấu hiệu nào cho thấy tin tặc vẫn có thể truy cập vào hệ thống của bộ.
Lỗ hổng BeyondTrust bị khai thác
BeyondTrust, nhà cung cấp là trung tâm của sự cố, gần đây đã phát hành bản vá cho lỗ hổng nghiêm trọng (CVE-2024-12356) trong các sản phẩm Privileged Remote Access (PRA) và Remote Support (RS) của mình. Vào ngày 5 tháng 12, công ty phát hiện ra rằng khóa API cho Remote Support SaaS của mình đã bị xâm phạm, kích hoạt lệnh đóng ngay lập tức các phiên bản bị ảnh hưởng và thông báo cho khách hàng bị ảnh hưởng.
Bối cảnh: Một làn sóng gián điệp mạng rộng lớn hơn của Trung Quốc
Cuộc tấn công vào Bộ Tài chính này diễn ra trong bối cảnh lo ngại gia tăng về một chiến dịch gián điệp mạng lớn hơn của Trung Quốc, có biệt danh là " Salt Typhoon ". Chiến dịch này được cho là đã cho phép Bắc Kinh tiếp cận các thông tin liên lạc nhạy cảm, bao gồm tin nhắn văn bản và cuộc trò chuyện qua điện thoại, liên quan đến công dân Mỹ.
Tính đến cuối tháng 12, các quan chức Hoa Kỳ đã xác nhận rằng chín công ty viễn thông đã bị Salt Typhoon xâm phạm. Vụ vi phạm của Bộ Tài chính, mặc dù có vẻ không liên quan, nhưng lại làm nổi bật phạm vi và sự tinh vi của các hoạt động mạng do nhà nước Trung Quốc tài trợ nhắm vào cơ sở hạ tầng và hệ thống chính phủ Hoa Kỳ.
Những điểm chính
Sự cố này là lời nhắc nhở nghiêm khắc về các lỗ hổng nghiêm trọng do sự phụ thuộc vào phần mềm của bên thứ ba gây ra. Các dịch vụ dựa trên đám mây, thường được coi là tiện lợi và an toàn, có thể trở thành cổng cho kẻ tấn công nếu bị khai thác.
Các tổ chức - cả chính phủ và tư nhân - phải luôn cảnh giác, đảm bảo các giao thức bảo mật mạnh mẽ, vá lỗi thường xuyên và các kế hoạch ứng phó sự cố toàn diện. Việc chính phủ Hoa Kỳ nhanh chóng tham gia vào các cơ quan an ninh mạng nhấn mạnh tầm quan trọng của phản ứng phối hợp đối với các mối đe dọa mạng.
Khi cuộc điều tra diễn ra, có một điều rõ ràng: Rủi ro về an ninh mạng đang cao hơn bao giờ hết trong thời đại căng thẳng địa chính trị leo thang và các cuộc tấn công mạng ngày càng tinh vi.