Китайські хакери атакували Міністерство фінансів США

Михайло Года

Основні тези

Китайські хакери з групи APT атакували Міністерство фінансів США, використавши скомпрометований ключ API у програмному забезпеченні BeyondTrust для доступу до робочих станцій та несекретних документів.
Міністерство співпрацювало з CISA та ФБР для розслідування, тоді як BeyondTrust відкликала ключ API та зупинила відповідні сервіси, заявивши, що немає доказів продовження доступу до систем.
Інцидент збігся з раніше оприлюдненим випадком, про який повідомляла компанія BeyondTrust, пояснюючи його скомпрометованим ключем API.

Ілюстративне фото / Unsplash

Міністерство фінансів США підтвердило, що до значного порушення кібербезпеки причетна фінансована Китаєм група хакерів Advanced Persistent Threat (APT). Зловмисники використовували скомпрометований ключ API у сторонньому програмному забезпеченні для віддаленого управління BeyondTrust для доступу до робочих станцій та несекретних документів.

Про злам було повідомлено в листі Міністерства фінансів до законодавців, повідомляє 24 Канал з посиланням на The Verge.

А тим часом У США виявили вже дев'ятого провайдера, якого зламали китайські державні хакери

BeyondTrust, постачальник програмного забезпечення для віддаленого управління, яке використовує Казначейство США, попередив міністерство про злам 8 грудня.

Відомо, що зловмисники викрали ключ, необхідний для захисту хмарної служби віддаленої технічної підтримки BeyondTrust, що дозволило їм обійти заходи безпеки і отримати несанкціонований доступ до робочих станцій департаменту та деяких несекретних даних.

Міністерство фінансів співпрацювало з Агентством з кібербезпеки та безпеки інфраструктури (CISA) та ФБР для розслідування та реагування на атаку.

Скомпрометований сервіс BeyondTrust було виведено з ладу, і немає жодних доказів того, що зловмисник продовжує мати доступ до систем або інформації Казначейства,
– заявив Майкл Гвін, представник міністерства, в інтерв'ю виданню The Verge.

Ціль атаки

Наразі відомо, що ціллю міг бути Офіс з контролю за за іноземними активами (OFAC). Інформація, якою могли заволодіти хакери, може містити конфіденційні дані про осіб та та компанії, щодо яких США мали намір запровадити санкційні обмеження.

Китай, як завжди, відхрещується від атаки і наголошує, що країна виступає проти будь-яких хакерських атак.

Реакція BeyondTrust

Компанія пояснила це порушення скомпрометованим ключем API, який впливає на її програмне забезпечення для віддаленої підтримки. BeyondTrust заявила, що негайно відкликала ключ API, повідомила про це постраждалих клієнтів і призупинила роботу відповідних екземплярів того ж дня.

Дивіться також Наймасштабніша кібератака на державні реєстри України: все, що варто знати

Наразі немає жодних підтверджень продовження несанкціонованого доступу або подальшої експлуатації систем Казначейства після цього злому.