中国黑客入侵美国财政部系统引发网络安全事件

通过Mura在计算机安全

翻译为：

美国财政部证实，中国黑客远程访问了部门工作站和非机密文件，官员们称这是一起“重大网络安全事件”。此次入侵事件发生在黑客入侵 BeyondTrust 运营的一项基于云的服务之后，BeyondTrust 是一家专门从事特权访问管理的公司。

虽然财政部官员承认此次事件的严重性，但关键细节仍不清楚。财政部尚未透露受影响的工作站数量或被访问文件的性质。

此次攻击是由中国政府支持的高级持续性威胁 (APT) 组织发起的，黑客利用了 BeyondTrust 使用的被盗 API 密钥。据美国财政部管理事务助理部长 Aditi Hardikar 称，BeyondTrust 于 12 月 8 日向美国财政部通报了与其基于云的技术支持服务相关的可疑活动。

哈迪卡在给立法者的一封信中解释道：“通过获取被盗密钥，威胁行为者能够超越该服务的安全性，远程访问财政部办公室 (DO) 的用户工作站，并检索这些用户保存的未分类文件。”

虽然非机密系统通常比机密网络敏感度更低，但它们的入侵仍然可能带来重大风险，有可能暴露政府行动或引发进一步的攻击。

财政部已邀请网络安全和基础设施安全局 (CISA)、联邦调查局、情报界和私人法医调查员来分析此次入侵事件并评估其影响。据 Hardikar 称，这些机构正在合作确保事件得到控制并加强对未来威胁的防御。

CISA 的快速反应，加上财政部立即关闭受感染服务的决定，迄今为止尚未发现任何迹象表明黑客仍然可以访问部门系统。

此次事件的核心供应商 BeyondTrust 最近发布了针对其特权远程访问 (PRA) 和远程支持 (RS) 产品中一个严重漏洞 (CVE-2024-12356) 的补丁。12 月 5 日，该公司发现其远程支持 SaaS 的一个 API 密钥已被泄露，导致受影响实例立即关闭并通知受影响的客户。

此次对美国财政部的攻击发生在人们对中国更大规模的网络间谍活动（绰号“盐台风”）的担忧加剧之际。据报道，该活动让北京获得了涉及美国公民的敏感通信，包括短信和电话交谈。

截至 12 月底，美国官员确认有 9 家电信公司遭到 Salt Typhoon 攻击。财政部遭入侵事件看似与此无关，但凸显了中国政府支持的网络攻击行动的范围和复杂性，这些行动针对的是美国基础设施和政府系统。

此次事件再次提醒我们第三方软件依赖性所带来的严重漏洞。基于云的服务通常被视为方便和安全，但一旦被利用，就可能成为攻击者的门户。

政府和私营机构都必须保持警惕，确保采用强大的安全协议、定期修补和全面的事件响应计划。美国政府迅速与网络安全机构合作，凸显了协调应对网络威胁的重要性。

随着调查的展开，有一点很清楚：在地缘政治紧张局势不断升级和网络攻击日益复杂的时代，网络安全的风险比以往任何时候都高。

搜索