Hackul evidențiază amenințarea tot mai mare a atacurilor lanțului de aprovizionare
Ce tocmai sa întâmplat? Departamentul de Trezorerie al SUA a căzut victima unei încălcări semnificative a securității cibernetice pe care a atribuit-o hackerilor chinezi sponsorizați de stat. Hackul, descris ca un „incident major” de oficialii Trezoreriei, a implicat compromisul unui furnizor terț de servicii de securitate cibernetică, BeyondTrust, și a dus la furtul de documente neclasificate.
Încălcarea, care a avut loc la începutul lunii decembrie 2024, a exploatat o vulnerabilitate în produsul de asistență de la distanță al BeyondTrust. Potrivit unei scrisori pe care departamentul a trimis-o parlamentarilor, care a fost văzută de Reuters, hackerii au obținut acces la o cheie folosită de furnizor pentru a securiza un serviciu bazat pe cloud folosit pentru a oferi de la distanță suport tehnic pentru utilizatorii finali ai Birourilor Departamentului de Trezorerie (DO). Acest acces a permis actorilor amenințărilor să ocolească măsurile de securitate, să acceseze de la distanță anumite stații de lucru ale utilizatorilor Treasury DO și să obțină documente neclasificate.
Oficialii Trezoreriei au fost alertați cu privire la încălcare pe 8 decembrie 2024 și au angajat Agenția de Securitate Cibernetică și Securitate a Infrastructurii (CISA) și Biroul Federal de Investigații pentru a evalua impactul. Departamentul a lucrat cu aceste agenții, precum și cu comunitatea de informații și cu anchetatori criminaliști terți, pentru a înțelege întreaga amploare a încălcării.
„Acest incident se potrivește unui tipar bine documentat de operațiuni ale grupurilor legate de RPC, cu un accent deosebit pe abuzul de servicii terțe de încredere – o metodă care a devenit din ce în ce mai proeminentă în ultimii ani”, Tom Hegel, cercetător pentru amenințări la compania de securitate cibernetică SentinelOne, a declarat pentru Reuters.
BeyondTrust a recunoscut incidentul de securitate într-o declarație pe site-ul său. Compania a raportat că a „identificat anterior și a luat măsuri pentru a aborda un incident de securitate la începutul lunii decembrie 2024” care implică produsul său de asistență la distanță. BeyondTrust a mai declarat că a notificat numărul limitat de clienți afectați și forțele de ordine.
Ca răspuns la încălcare, BeyondTrust a luat mai mulți pași pentru a aborda vulnerabilitățile. Compania a identificat o vulnerabilitate de gravitate medie (BT24-11) și o vulnerabilitate critică (BT24-10) în cadrul produselor lor de asistență la distanță și acces la distanță privilegiat. De atunci, au corectat toate instanțele cloud și au lansat actualizări pentru versiunile auto-găzduite.
În timp ce amploarea completă a încălcării este încă determinată, Departamentul de Trezorerie a confirmat că serviciul compromis BeyondTrust a fost scos offline. În prezent, nu există dovezi care să indice că actorul amenințării are încă acces la informațiile Trezoreriei.
Ambasada Chinei la Washington a negat orice implicare în hack. Beijingul „se opune ferm atacurilor calomnioase ale SUA împotriva Chinei fără nicio bază faptică”, a spus un purtător de cuvânt.
Pe măsură ce investigația continuă, se așteaptă ca Departamentul de Trezorerie să ofere mai multe detalii într-un raport suplimentar de 30 de zile, așa cum se prevede în conformitate cu Legea Federală de Modernizare a Securității Informației din 2014 (FISMA) și îndrumările Oficiului de Management și Buget (OMB).