Ministarstvo finansija Sjedinjenih Američkih Država saopćilo je da je pretrpjelo “veliki incident u vezi s cyber bezbjednošću” koji je omogućio osumnjičenim kineskim pretnjama da daljinski pristupe nekim kompjuterima i neklasificiranim dokumentima.
„Dana 8. decembra 2024. Treasury je obaviješten od strane dobavljača softverskih usluga treće strane, BeyondTrust, da je haker dobio pristup ključu koji je koristio dobavljač da osigura uslugu zasnovanu na cloud-u koja se koristi za daljinsko pružanje tehničke podrške za Treasury. Krajnji korisnici kancelarija odjela (DO), navodi se u pismu u kojem obavještava Senatsku komisiju za bankarstvo, stambena pitanja i urbana pitanja.
“Sa pristupom ukradenom ključu, haker je mogao nadjačati sigurnost usluge, daljinski pristupiti određenim radnim stanicama korisnika Treasury DO i pristupiti određenim neklasificiranim dokumentima koje su održavali ti korisnici.”
Federalna agencija saopštila je da radi s Agencijom za cyber sigurnost i infrastrukturnu sigurnost (CISA) i Federalnim istražnim biroom (FBI), te da dostupni dokazi ukazuju na to da je to djelo neimenovane napredne trajne prijetnje (APT) koju sponzoriše država. Haker iz Kine.
Ministarstvo finansija je dalje saopštilo da je isključilo uslugu BeyondTrust, dodajući da nema dokaza da hakeri imaju pristup okruženju.
Ranije ovog mjeseca, BeyondTrust je otkrio da je bio žrtva digitalnog upada koji je omogućio lošim hakerima da provale neke od njegovih instanci Remote Support SaaS.
Kompanija je saopštila da je njena istraga o incidentu otkrila da su napadači dobili pristup Remote Support SaaS API ključu koji im je omogućio da resetuju lozinke za naloge lokalnih aplikacija. BeyondTrust tek treba da otkrije kako je ključ dobijen.
“BeyondTrust je odmah opozvao API ključ, obavijestio poznate klijente na koje se to odnosi i suspendovao te instance istog dana, istovremeno pružajući alternativne instance Remote Support SaaS za te klijente”, navodi se.
Istraga je takođe otkrila dva bezbednosna propusta u proizvodima privilegovanog udaljenog pristupa (PRA) i daljinske podrške (RS) (CVE-2024-12356, CVSS rezultat: 9,8 i CVE-2024-12686, CVSS rezultat: 6,6), od kojih je prvi je dodan u CISA katalog poznatih eksploatiranih ranjivosti (KEV), pozivajući se na dokaze o aktivnoj eksploataciji u divljini.
Razotkrivanje dolazi nakon što se nekoliko američkih telekomunikacionih provajdera našlo na nišanu drugog hakera pod pokroviteljstvom kineske države po imenu Salt Typhoon .
Izvor:The Hacker News
