Amerykański Departament Skarbu padł ofiarą cyberataku związanego z grupą sponsorowaną przez chińskie państwo

Amerykańskie Ministerstwo Skarbu potwierdziło, że 8 grudnia 2024 r. doszło do znaczącego naruszenia bezpieczeństwa cybernetycznego, w wyniku którego sponsorowany przez państwo chiński cyberprzestępca uzyskał nieautoryzowany dostęp do jego systemów.

Naruszenie związane było z dostawcą oprogramowania zewnętrznego, BeyondTrust, który dostarczał zdalne usługi wsparcia technicznego dla końcowych użytkowników Departamentu Skarbu (DO).

W liście do parlamentarzystów, Departament Skarbu szczegółowo opisał incydent i przedstawił podjęte w odpowiedzi kroki. Do naruszenia doszło, gdy sprawca zagrożenia uzyskał dostęp do klucza używanego przez BeyondTrust do zabezpieczania usługi opartej na chmurze.

Za pomocą tego klucza, napastnik ominął zabezpieczenia, zdalnie przeniknął do stacji roboczych Ministerstwa Skarbu i uzyskał dostęp do nieklasyfikowanych dokumentów przechowywanych na dotkniętych systemach.

Po odkryciu naruszenia, Ministerstwo Skarbu natychmiast powiadomiło Agencję Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), Federalne Biuro Śledcze (FBI) oraz społeczność wywiadowczą.

Również zewnętrzni śledczy z dziedziny informatyki śledczej zostali wezwani, aby ocenić sytuację i określić pełny zakres ataku. Według Ministerstwa Skarbu, dostępne dowody wskazują na powiązanie incydentu z grupą Advanced Persistent Threat (APT) sponsorowaną przez chińskie państwo.

CNN zauważa, że dokładna liczba przenikniętych stanowisk pracy pozostaje niejasna. Jednak rzecznik Ministerstwa Skarbu potwierdził, że dostęp uzyskano do „kilku” stanowisk użytkowników Ministerstwa Skarbu. Nie jest również pewne, czy Ministerstwo Skarbu w pełni oceniło zakres szkód spowodowanych przez naruszenie bezpieczeństwa.

Tom Hegel, badacz zagrożeń w firmie zajmującej się cyberbezpieczeństwem, SentinelOne, zauważył w rozmowie z Reuters, że zgłoszony incydent bezpieczeństwa pasuje do znanego wzorca zachowań grup związanych z Chińską Republiką Ludową, zwłaszcza ich rosnącego polegania na zaufanych usługach świadczonych przez strony trzecie, taktyki, która stała się bardziej powszechna w ostatnich latach.

Kompromitowana usługa została od tego czasu wyłączona, a na chwilę obecną nie ma żadnych oznak, że sprawca zagrożenia utrzymał dostęp do informacji Departamentu Skarbu, zgodnie z treścią listu.

W odpowiedzi na naruszenie, urzędnicy skarbowi chwalili inwestycje dokonane na mocy Konta Wzmacniania Cyberbezpieczeństwa (CEA), które dostarczyło niezbędnych narzędzi do monitorowania i reagowania na atak.

Zgodnie z Federalnym Aktem o Modernizacji Bezpieczeństwa Informacji (FISMA), Skarb Państwa uznał ten incydent za znaczące wydarzenie w dziedzinie cyberbezpieczeństwa.

Gazeta Washington Post zauważa, że ta niewłaściwa ingerencja następuje po serii głośnych ataków cybernetycznych przypisywanych Chinom.

Wcześniej w tym roku, chińska grupa hakerów znana jako Salt Typhoon przeniknęła do ponad dwunastu amerykańskich firm telekomunikacyjnych, umożliwiając im przechwytywanie rozmów telefonicznych i wiadomości tekstowych, w tym tych od nowo wybranego prezydenta Donalda Trumpa oraz wiceprezydenta JD Vance’a.