Actorii de amenințare susținuți de statul chinez au hackuit Departamentul Trezoreriei SUA după ce au compromis o platformă de suport remote folosită de agenția federală.
Într-o scrisoare trimisă către parlamentari și văzută de New York Times, Departamentul Trezoreriei a avertizat parlamentarii că a fost notificat pentru prima dată despre compromis la 8 decembrie de către furnizorul său BeyondTrust.
BeyondTrust este o companie de gestionare a accesului privilegiat care oferă și o platformă SaaS de suport remote care poate fi folosită pentru a accesa calculatoare de la distanță.
„Pe baza indicatorilor disponibili, incidentul a fost atribuit unui actor de amenințare Persistent Avansat (APT) susținut de statul chinez”, se arată în scrisoarea citită de New York Times.
„În conformitate cu politica Trezoreriei, intruziunile atribuite unui APT sunt considerate un incident major de securitate cibernetică.”
La începutul acestei luni, BleepingComputer a raportat că BeyondTrust a fost compromis, cu actorii de amenințare obținând acces la unele instanțe Remote Support SaaS ale companiei.
În cadrul acestei compromiteri, actorii de amenințare au utilizat o cheie API Remote Support SaaS furată pentru a reseta parolele conturilor de aplicații locale și a obține acces privilegiat suplimentar la sisteme.
După investigarea atacului, BeyondTrust a descoperit două vulnerabilități zero-day, CVE-2024-12356 și CVE-2024-12686, care au permis actorilor de amenințare să compromită și să preia instanțele Remote Support SaaS.
Deoarece Departamentul Trezoreriei era un client al uneia dintre aceste instanțe compromise, actorii de amenințare au putut utiliza platforma pentru a accesa calculatoarele agenției și a fura documente de la distanță.
După ce BeyondTrust a detectat compromiterea, au închis toate instanțele compromise și au retras cheia API furată.
Scrisoarea menționează că FBI și CISA au asistat în ancheta privind compromiterea Departamentului Trezoreriei, și nu există dovezi că actorii de amenințare chinezi mai au acces la calculatoarele agenției acum că instanțele compromise au fost închise.
Actorii de amenințare susținuți de statul chinez numiți „Salt Typhoon” au fost de asemenea legați de hackurile recente ale a nouă companii de telecomunicații din SUA, inclusiv Verizon, AT&T, Lument și T-Mobile. Se crede că actorii de amenințare au compromis firmele de telecomunicații în zeci de alte țări.
Actorii de amenințare au utilizat acest acces pentru a viza mesajele text, mesajele vocale și apelurile telefonice ale unor persoane țintă, și pentru a accesa informații de interceptare a convorbirilor ale celor investigați de autorități.
După această serie de compromiteri în domeniul telecomunicațiilor, CISA a îndemnat oficialii guvernamentali de rang înalt să treacă la aplicații de mesagerie criptate de la un capăt la altul, precum Signal, pentru a reduce riscurile de interceptare a comunicării.
Guvernul SUA intenționează, conform rapoartelor, să interzică ultimele operațiuni active ale China Telecom în SUA ca răspuns la hackurile din domeniul telecomunicațiilor.
BleepingComputer a trimis întrebări suplimentare către Departamentul de Stat cu privire la compromitere, dar încă nu a primit un răspuns.
BeyondTrust spune că hackerii au compromis instanțele Remote Support SaaS
Gigantul pieselor auto LKQ spune că un atac cibernetic a afectat unitatea de afaceri canadiană
Wyden propune un proiect de lege pentru a securiza telecomunicațiile SUA după hackurile Salt Typhoon
T-Mobile confirmă că a fost hackuită în seria recentă de compromiteri în domeniul telecomunicațiilor
AT&T și Verizon spun că rețelele sunt securizate după compromiterea de către Salt Typhoon
Leave a Reply