中國駭客入侵美國財政部系統引發網路安全事件

美國財政部已證實，中國駭客遠端存取了部門工作站和非機密文件，官員稱之為「重大網路安全事件」。這次洩漏是在駭客破壞了 BeyondTrust（一家專門從事特權存取管理的公司）運營的基於雲端的服務之後發生的。

儘管財政部官員承認事件的嚴重性，但關鍵細節仍不清楚。該部門尚未透露受影響的工作站數量或訪問的文件的性質。

與中國相關的高級持續威脅有關的違規行為

這次攻擊是由中國國家資助的高級持續威脅 (APT) 組織發起的，駭客利用 BeyondTrust 使用的被盜 API 金鑰進行攻擊。據財政部主管管理事務的助理部長阿迪蒂·哈迪卡 (Aditi Hardikar) 稱，BeyondTrust 於 12 月 8 日向財政部通報了與其基於雲端的技術支援服務相關的可疑活動。

哈迪卡在給立法者的一封信中解釋說：「透過存取被盜的金鑰，威脅行為者能夠超越服務的安全性，遠端訪問財政部辦公室（DO）的用戶工作站，並檢索這些用戶維護的非機密文件。

雖然非機密系統通常不如機密網路敏感，但它們的妥協仍然可能帶來重大風險，可能暴露政府運作或引發進一步的攻擊。

協調響應正在進行中

財政部已聘請網路安全和基礎設施安全局 (CISA)、聯邦調查局 (FBI)、情報界和私人法證調查員來分析此外洩事件並評估其影響。哈迪卡表示，這些機構正在合作，確保事件受到控制，並加強對未來威脅的防禦。

CISA 的快速反應，加上財政部決定立即將受感染的服務下線，到目前為止，沒有任何跡象表明駭客仍然可以訪問部門系統。

BeyondTrust 漏洞被利用

事件的核心供應商 BeyondTrust 最近為其特權遠端存取 (PRA) 和遠端支援 (RS) 產品中的一個嚴重漏洞 (CVE-2024-12356) 發布了修補程式。 12 月 5 日，該公司發現其遠端支援 SaaS 的 API 金鑰已被洩露，導致受影響的執行個體立即關閉，並向受影響的客戶發出通知。

背景：中國網路間諜活動的更廣泛浪潮

這次針對財政部的攻擊發生之際，人們對一場綽號為「鹽颱風」的更大規模的中國網路間諜活動的擔憂加劇。據報道，該活動允許北京獲取涉及美國公民的敏感通信，包括簡訊和電話對話。

截至 12 月底，美國官員證實有 9 家電信公司受到鹽颱風的影響。美國財政部的資料外洩事件雖然看似無關，但凸顯了中國國家支持的針對美國基礎設施和政府系統的網路行動的範圍和複雜性。

重點

這事件清楚提醒我們，第三方軟體依賴項所帶來的嚴重漏洞。基於雲端的服務通常被認為方便且安全，但如果被利用，可能會成為攻擊者的門戶。

組織（政府和私人組織）必須保持警惕，確保強大的安全協議、定期修補和全面的事件回應計畫。美國政府網路安全機構的快速參與凸顯了協調應對網路威脅的重要性。

隨著調查的展開，有一點很清楚：在地緣政治緊張局勢不斷升級和網路攻擊日益複雜的時代，網路安全的風險比以往任何時候都更高。