Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) megerősítette, hogy a nemrégiben felfedezett kormányzati kibertámadás kizárólag a Pénzügyminisztériumot érintette, más szövetségi ügynökségek rendszereit nem törték fel. A Pénzügyminisztérium múlt héten jelentette be, hogy kínai állami hackerek hatoltak be a rendszerükbe. A támadók a BeyondTrust által biztosított távfelügyeleti szoftver egy ellopott Remote Support SaaS API kulcsát használták fel, hogy hozzáférést szerezzenek. Az esetet a BeyondTrust 2024. december 8-án jelentette az ügynökségnek. A Pénzügyminisztérium által kiadott kongresszusi jelentés szerint az incidenst egy államilag támogatott kínai fenyegető szereplőhöz, azaz Advanced Persistent Threat (APT) csoporthoz kötötték. Az ilyen betörések súlyos kiberbiztonsági incidensnek minősülnek a minisztérium irányelvei szerint.

A BeyondTrust egy privilégiumkezeléssel foglalkozó vállalat, amely távoli támogatást biztosító SaaS-platformot (Software-as-a-Service) is kínál. A támadás során a hackerek egy ellopott API-kulcs segítségével fértek hozzá a platformhoz, ahol jelszó-visszaállításokat hajtottak végre, és további jogosultságokat szereztek. A vizsgálat során kiderült, hogy két nulladik napi sérülékenység (zero-day vulnerability), a CVE-2024-12356 és a CVE-2024-12686 lehetővé tette a támadóknak, hogy teljesen átvegyék az irányítást a távoli támogatási rendszerek felett. Ezeken keresztül a hackerek elérték a Pénzügyminisztérium számítógépeit, és érzékeny dokumentumokat loptak el.

A támadás elsősorban a Külgazdasági Eszközök Ellenőrzési Hivatalát (OFAC) érintette, amely a gazdasági és kereskedelmi szankciókat kezeli. A hackerek valószínűleg információt gyűjtöttek azokról a kínai személyekről és szervezetekről, akik ellen szankciókat fontolgat az Egyesült Államok. Továbbá betörtek a Pénzügyi Kutatási Hivatal hálózatába is, bár a támadás teljes kiterjedése még felmérés alatt áll. A BeyondTrust sérült példányát azóta lekapcsolták, és a hackerek nem tartották fenn hozzáférésüket a rendszerekhez. CISA hangsúlyozta, hogy a szövetségi rendszerek védelme kulcsfontosságú a nemzetbiztonság szempontjából, és továbbra is szorosan együttműködik a megfelelő hatóságokkal, hogy megelőzze a jövőbeni támadásokat. Jelenleg nincs bizonyíték arra, hogy a kínai hackerek továbbra is hozzáférnének a minisztérium rendszereihez. A támadás részeként azonosított "Salt Typhoon" nevű kínai hackercsoport nemcsak az amerikai kormányzatot, hanem az ország kilenc telekommunikációs vállalatát – köztük a Verizont, az AT&T-t és a T-Mobile-t – is célba vette. Ezen cégeken keresztül hozzáfértek a célzott személyek szöveges üzeneteihez, hangpostáihoz és hívásaihoz, valamint a bűnüldözési szervek lehallgatási adataihoz.

A telekommunikációs támadások után a CISA arra ösztönözte a kormányzati tisztviselőket, hogy váltsanak végpontok közötti titkosítást alkalmazó üzenetküldő alkalmazásokra, mint például a Signal, hogy csökkentsék a lehallgatási kockázatokat.

Ez az eset ismét rávilágít arra, hogy a kritikus infrastruktúrák és az érzékeny adatok védelme mennyire elengedhetetlen, különösen a növekvő geopolitikai kiberfenyegetettség idején. A jelentések szerint az amerikai kormány fontolgatja a China Telecom utolsó aktív amerikai műveleteinek betiltását, válaszul a támadásokra. Ez az intézkedés része lehet az Egyesült Államok fokozódó kiberbiztonsági erőfeszítéseinek, hogy megvédje kulcsfontosságú infrastruktúráit és érzékeny információit.

(forrás)