Казначейство США подверглось кибератаке, связанной с группой, поддерживаемой государством Китая

Министерство финансов США подтвердило, что 8 декабря 2024 года пережило значительное нарушение кибербезопасности, в результате которого китайский хакер, поддерживаемый государством, получил несанкционированный доступ к его системам.

Нарушение было связано с поставщиком программного обеспечения сторонней компании, BeyondTrust, которая предоставляла услуги удаленной технической поддержки для конечных пользователей Департаментальных офисов Министерства финансов (DO).

В письме законодателям, Министерство финансов подробно описало инцидент и предпринятые в ответ действия. Нарушение произошло, когда злоумышленник получил доступ к ключу, который BeyondTrust использовала для обеспечения безопасности облачного сервиса.

С помощью этого ключа злоумышленник обошел меры безопасности, удаленно проник в рабочие станции Министерства финансов и получил доступ к несекретным документам, хранящимся на затронутых системах.

Обнаружив нарушение, Министерство финансов немедленно сообщило об этом в Агентство по кибербезопасности и защите инфраструктуры (CISA), Федеральное бюро расследований (FBI) и разведывательное сообщество.

Также были привлечены сторонние судебные эксперты для оценки ситуации и определения полного масштаба атаки. По данным Министерства финансов, имеющиеся доказательства связывают инцидент с группой продвинутых устойчивых угроз (APT), поддерживаемой государством Китая.

CNN отмечает, что точное количество проникнутых рабочих станций остается неясным. Однако, представитель Минфина подтвердил, что доступ к «нескольким» рабочим станциям Минфина был получен. Также неизвестно, оценило ли Минфин полностью масштабы нанесенного взломом ущерба.

Том Хегель, исследователь угроз в компании по кибербезопасности SentinelOne, заметил в беседе с Reuters, что сообщенный инцидент безопасности соответствует известному образцу поведения групп, связанных с КНР, в частности их усиливающейся зависимости от доверенных услуг третьих сторон, тактика которых становится все более распространенной в последние годы.

Скомпрометированный сервис с тех пор был отключен, и на данный момент нет никаких признаков того, что угроза актора сохранила доступ к информации Министерства финансов, согласно письму.

В ответ на нарушение, представители Министерства финансов высоко оценили инвестиции, сделанные в рамках Счета на Улучшение Кибербезопасности (CEA), который предоставил необходимые инструменты для мониторинга и реагирования на атаку.

Согласно Федеральному закону о модернизации информационной безопасности (FISMA), Министерство финансов признало этот инцидент значительным событием в области кибербезопасности.

Washington Post отмечает, что это нарушение следует за серией громких кибератак, приписываемых Китаю.

Ранее в этом году китайская хакерская группа, известная как Salt Typhoon, проникла в более дюжины телекоммуникационных компаний США, что позволило им перехватывать телефонные звонки и текстовые сообщения, включая те, что были направлены избранному президенту Дональду Трампу и избранному вице-президенту JD Vance.