Связанная с Китаем кибергруппа взломала Министерство финансов США

Кибератака, спонсируемая китайским государством, скомпрометировала Казначейство США, получив доступ к секретным документам через уязвимость через стороннего поставщика кибербезопасности BeyondTrust. Взлом, обнаруженный 31 декабря, подчеркивает растущую изощренность поддерживаемых государством усилий по кибершпионажу.

«Министерство финансов очень серьезно относится ко всем угрозам нашим системам и хранящимся в нем данным», — заявил представитель департамента. «За последние четыре года Министерство финансов значительно усилило свою киберзащиту, и мы продолжим работать как с частными, так и с государственными партнерами, чтобы защитить нашу финансовую систему от субъектов угроз».

Злоумышленники украли ключ к BeyondTrust

BeyondTrust сообщила о взломе в Министерство финансов 8 декабря. Министерство финансов, в свою очередь, сообщило об атаке в Агентство кибербезопасности и инфраструктуры и ФБР.

Представители китайского правительства заявили журналистам, что страна не несет ответственности за нарушение. Представитель посольства Китая в Вашингтоне сообщил агентству Reuters, что приписывание Китаю угроз, спонсируемых государством, является «клеветническими атаками на Китай без какой-либо фактической основы».

Согласно письму должностных лиц казначейства, полученному агентством Reuters, нарушение произошло после того, как «злоумышленник получил доступ к ключу, используемому поставщиком для защиты облачного сервиса, используемого для удаленного предоставления технической поддержки конечным пользователям казначейских отделений (DO).

Какие типы документов были использованы?

По данным BBC, среди целевых документов были:

Информация об избранном президенте Дональде Трампе и избранном вице-президенте Дж. Д. Вэнсе. Данные, связанные с президентской кампанией вице-президента Камалы Харрис в 2024 году. База данных телефонных номеров, подлежащих наблюдению со стороны правоохранительных органов.

Неизвестно, была ли эта информация целенаправленной или она случайно оказалась в имеющихся данных.

После атаки Казначейство работало со сторонними специалистами по безопасности, разведывательным сообществом, ФБР и CISA для расследования. Казначейство определило киберугрозу как субъекта Advanced Persistent Threat, которого NIST определяет как «изощренного» противника, использующего множественные тактики для получения непрерывного доступа к своей цели.

Согласно письму Казначейства, BeyondTrust отключил пострадавший сервис. Эта стратегия заблокировала доступ злоумышленников к информации департамента.

Как подчеркивает Washington Post, Министерство финансов играет ключевую роль в экономических санкциях, которые избранный президент Трамп может использовать против китайских товаров.

«Рост числа китайских кибератак на инфраструктуру США отражает более широкие стратегические приоритеты, включая противодействие влиянию США, достижение технологического доминирования и подготовку к потенциальным геополитическим столкновениям», — написал Джеймс Тургал, вице-президент по глобальным киберрискам и связям с советом директоров Optiv и бывший помощник директора ФБР по информации и технологиям, в электронном письме TechRepublic.

СМ.: В начале декабря США ввели санкции против китайской компании по кибербезопасности Sichuan Silence за предполагаемую причастность к атакам с использованием программ-вымогателей.

Соляной тайфун обрушится на инфраструктуру США в 2024 году

Взлом казначейства был частью серии атак на правительственные учреждения и инфраструктуру США в 2024 году. Многие из этих инцидентов были отслежены до спонсируемых Китаем субъектов угроз, включая Salt Typhoon.

Действуя с 2020 года, Salt Typhoon была признана за свои операции по кибершпионажу, нацеленные на критически важные инфраструктурные секторы по всему миру. Группа нацелилась по меньшей мере на восемь американских телекоммуникационных компаний, включая AT&T и Verizon, а также на Cisco и оборонных подрядчиков.

«Эта атака подчеркивает острую необходимость в надежных системах кибербезопасности для защиты от растущих угроз, нацеленных на телекоммуникационный сектор», — написала Федеральная комиссия по связи (FCC) в начале декабря.

Что это означает для специалистов по кибербезопасности?

В декабре правительство США выпустило руководство по безопасности для телекоммуникационных компаний, пытающихся пресечь схему взлома китайских государственных структур в национальных организациях. В руководстве предлагалось, чтобы компании использовали комплексные механизмы оповещения, использовали решения для мониторинга сетевых потоков, ограничивали воздействие трафика управления на Интернет и укрепляли различные аспекты систем и устройств. Для определенных устройств Cisco могут потребоваться дополнительные меры предосторожности.