Amerikalı yetkililer Pazartesi günü yaptığı açıklamada, Çin devleti destekli bir bilgisayar korsanının ABD Hazine Bakanlığı’nın sistemlerini başarıyla ihlal ederek çalışanların iş istasyonlarına ve gizli olmayan belgelere erişim sağladığını açıkladı.
İzinsiz giriş Aralık ayı başında meydana geldi ve Hazine Bakanlığı’nın milletvekillerine olay hakkında bilgi veren bir mektubuyla açıklandı.
Hazine Bakanlığı bu ihlali “büyük bir olay” olarak sınıflandırdı ve bunun tam etkisini araştırmak için FBI ve diğer kurumlarla işbirliği yapıyor.
Ancak Washington DC’deki Çin büyükelçiliğinin bir sözcüsü suçlamayı reddetti ve bunun “herhangi bir olgusal dayanağı olmayan” bir “karalama saldırısı” olduğunu söyledi.
Hazine’nin mektubuna göre Çin merkezli aktör, Hazine çalışanlarına uzaktan teknik destek sunan üçüncü taraf hizmet sağlayıcısı BeyondTrust tarafından kullanılan bir anahtarı kullanarak güvenlik önlemlerini geçersiz kıldı.
BeyondTrust Güvenlik Açıkları
BeyondTrust, Ayrıcalıklı Uzaktan Erişim (PRA) ve Uzaktan Destek (RS) ürünlerinde, saldırganların yetkisiz sistem komutlarını yürütmesine izin verebilecek ciddi güvenlik açıklarını (CVE-2024-12356 ve CVE-2024-12686) açıkladı.
Ele geçirilen BeyondTrust hizmeti o zamandan beri çevrimdışına alındı ve yetkililer, bilgisayar korsanının Hazine Bakanlığı bilgilerine erişimini sürdürdüğüne dair hiçbir kanıt olmadığını belirtti.
Bölüm, 8 Aralık’ta BeyondTrust tarafından ihlal konusunda uyarıldı. Şirket, şüpheli faaliyetin ilk olarak 2 Aralık’ta tespit edildiğini ancak hacklemenin onaylanmasının üç gün sürdüğünü bildirdi.
Davetsiz misafir, Hazine Müsteşarlığı’nın çeşitli kullanıcı iş istasyonlarına ve bu kullanıcılar tarafından saklanan bazı sınıflandırılmamış belgelere uzaktan erişmeyi başardı.
Erişilen dosyaların kesin niteliği ve saldırının süresi açıklanmazken, bakanlık ele geçirilen sistemlerin sınıflandırılmamış bilgiler içerdiğini vurguladı.
Etkilenen bilgisayar sistemlerinin gizlilik düzeyinin belirtilmemesi, erişilen verilerin potansiyel değeri hakkında soru işaretleri bıraktı.
Casusluk ajanı olduklarına inanılan bilgisayar korsanları, büyük ihtimalle para çalmaya çalışmaktan ziyade bilgi arıyorlardı. Tespit ve doğrulama arasındaki üç günlük süre boyunca hesap oluşturma veya şifreleri değiştirme fırsatına sahip olmuş olabilirler.
Hazine yetkilileri, saldırının “Çin merkezli Gelişmiş Kalıcı Tehdit (APT) aktöründen” kaynaklandığını belirtti. Bakanlığın politikası, APT’ye atfedilebilecek izinsiz girişleri büyük siber güvenlik olayları olarak değerlendiriyor.
İhlale yanıt olarak bir Hazine sözcüsü, bakanlığın sistemlerini ve verilerini dış tehditlere karşı koruma konusundaki kararlılığını vurguladı. Olayla ilgili daha fazla ayrıntı içeren ek raporun 30 gün içinde milletvekillerine sunulması bekleniyor.
Çin büyükelçiliği sözcüsü Liu Pengyu, bilgisayar korsanlarının kökeninin izini sürmenin zor olabileceğini belirterek Hazine’nin iddialarını yalanladı. Siber olayları karakterize ederken “profesyonel ve sorumlu bir tutum” çağrısında bulundu ve ABD’yi “Çin’i karalamak ve iftira etmek için siber güvenliği kullanmayı bırakmaya” çağırdı.
Bu ihlal, Çinli casusluk korsanlarının gerçekleştirdiği yüksek profilli ABD siber güvenlik olaylarının sonuncusu. Bu, Aralık ayında telekomünikasyon şirketlerinin yakın zamanda gerçekleştirdiği ve geniş bir Amerikan toplumu yelpazesinde telefon kayıt verilerinin tehlikeye atılmasına yol açan başka bir saldırının ardından geldi.
Hazine Bakanlığı’nın hacklenmesi, devlet kurumlarının hassas bilgileri devlet destekli karmaşık siber tehditlere karşı koruma konusunda karşılaştığı devam eden zorlukların altını çiziyor.
Soruşturmalar devam ettikçe olayın siber güvenlik önlemleri ve ABD ile Çin arasındaki uluslararası ilişkilere ilişkin tartışmaların daha da alevlenmesi bekleniyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin