Według agencji chińscy hakerzy włamali się na początku Grudnia do Departamentu Skarbu USA i ukradli „niejawne dokumenty”. W liście do prawodawców Departament Skarbu ujawnił, że cyberprzestępcy zaatakowali jednego ze swoich dostawców usług, znanego jako BeyondTrust. Produkty firmy obejmują oprogramowanie jako usługę (SaaS), usługi w chmurze i PAM (Privileged Access Management).
„Skradziony klucz”
Dostawca powiadomił Skarb Państwa 8 grudnia, że „cyberprzestępca uzyskał dostęp do klucza używanego przez dostawcę do zabezpieczenia usługi w chmurze, która służy do zdalnego świadczenia pomocy technicznej użytkownikom końcowym Treasury Departmental Offices (DO). Dzięki dostępowi do skradzionego klucza aktor zagrożenia był w stanie ominąć zabezpieczenia usługi, uzyskać zdalny dostęp do niektórych stacji roboczych użytkowników Treasury DO i uzyskać dostęp do niektórych niejawnych dokumentów przechowywanych przez tych użytkowników” — zgodnie z treścią listu (oryginalnie zgłoszonego przez Reuters).
Po odkryciu naruszenia bezpieczeństwa Departament Skarbu zwrócił się o pomoc do agencji federalnych i śledczych, aby lepiej zrozumieć zamiary hakerów i ocenić ogólny wpływ naruszenia.
„CISAzostała zaangażowana natychmiast po tym, jak Departament Skarbu dowiedział się o ataku, a pozostałe organy zarządzające zostały powiadomione, gdy tylko zakres ataku stał się oczywisty” – kontynuuje list. „Na podstawie dostępnych wskaźników incydent został przypisany sponsorowanemu przez państwo chińskie aktorowi Advanced Persistent Threat (APT)”.
Hakerzy odcięci od dostępu do systemu
Ministerstwo Finansów wyłączyło zainfekowane systemy, aby mieć pewność, że hakerzynie będą mieli do nich już dostępu.
„W tej chwili nie ma dowodów wskazujących na to, że sprawca zagrożenia nadal ma dostęp do informacji Departamentu Skarbu” – stwierdza departament, dodając, że jego bieżące inwestycje w protokoły reagowania na incydenty okazały się opłacalne.
„Inwestycje, których dokonaliśmy, korzystając z uznaniowych środków przyznanych w ramach Cybersecurity Enhancement Account (CEA), pomogły nam zapewnić solidne procesy reagowania na incydenty i dostęp do szczegółowych rejestrów, które wspomagają nasze działania w zakresie reagowania na incydenty” – czytamy w bardziej uspokajającym oświadczeniu pod koniec listu.
Departament Skarbu podkreśla, że każdy atak hakerów sponsorowanych przez państwo (APT) stanowi „poważny incydent cyberbezpieczeństwa”. Agencja poda więcej szczegółów w nadchodzącym raporcie uzupełniającym.
Ameryka nękana w ostatnich latach przez chińskie wtargnięcia
Rząd USA ujawnił w zeszłym roku liczne włamania domniemanych chińskich hakerów, w tym szeroko zakrojony atak na amerykańskich operatorów telekomunikacyjnych przeprowadzony przez grupę APT zidentyfikowaną jako „Salt Typhoon”.
W powiązanych wiadomościach program Nagrody za Sprawiedliwość (RFJ) Departamentu Stanu USA oferuje do 10 milionów dolarów za informacje pozwalające zidentyfikować obywatela Chin, który miał udział w naruszeniu bezpieczeństwa dziesiątek tysięcy zapór sieciowych na całym świecie w kwietniu 2020 r.
W listopadzie Stany Zjednoczone uwięziły mieszkańca Florydy skazanego za sprzedaż tajemnic państwowych chińskim służbom wywiadowczym.
„Ataki sponsorowane przez nieprzychylne państwa mogą przynieść długofalowe i dotkliwe straty dla całego społeczeństwa. Cyberprzestępcy reprezentujący wrogie narody z reguły mają na celu nie tylko kradzież środków firm z innych krajów, lecz także sparaliżowanie ich krytycznej infrastruktury lub pozyskanie tajemnicy wojskowej. Takich działań nigdy nie można lekceważyć, ponieważ mogą być one początkiem przygotowań do potencjalnego konfliktu. Dlatego zawsze należy pamiętać o zabezpieczeniu każdej infrastruktury za pomocą skutecznego systemu antywirusowego oraz o regularnym szkoleniu pracowników.” – mówi Arkadiusz Kraszewski z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.