Çin devleti destekli bilgisayar korsanları, ABD Hazine Bakanlığı’nın bilgisayar sistemlerini başarıyla geçerek Bakan Janet Yellen’ın kişisel bilgisayarına erişim sağladı.
Hazine Bakanlığı tarafından “büyük bir olay” olarak tanımlanan bu olay, son yıllarda bir ABD federal kurumunu hedef alan en yüksek profilli siber saldırılardan birine işaret ediyor.
Aralık 2024’te meydana gelen ihlal, uzaktan erişim yönetimi konusunda uzmanlaşmış bir siber güvenlik firması olan BeyondTrust tarafından sağlanan üçüncü taraf yazılımlardaki güvenlik açıklarından yararlanılmasını içeriyordu.
Saldırganlar, Bakan Yellen ve üst düzey yetkilileri, Bakan Yardımcısı Wally Adeyemo ve Müsteşar Vekili Brad Smith’in de aralarında bulunduğu çok sayıda Hazine Bakanlığı iş istasyonuna yetkisiz erişim sağladı.
Bloomberg raporlarına göre Yellen’ın bilgisayarında 50’den az dosyaya erişilirken, departman genelinde 419 iş istasyonunda 3.000’den fazla sınıflandırılmamış dosyanın güvenliği ihlal edildi.
Bilgisayar korsanlarının yaptırımların uygulanması, istihbarat operasyonları ve uluslararası mali işler gibi hassas alanlara odaklandığı bildirildi. Ancak gizli sistemlere veya e-posta sunucularına girmeyi başaramadılar ve bu da olası hasarı azalttı.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Hack Nasıl Gerçekleşti?
BeyondTrust’un Uzaktan Destek hizmet olarak yazılım (SaaS) platformu, ihlal ihlalini kolaylaştırdı. Saldırganlar, güvenlik önlemlerini atlamak ve Hazine sistemlerine ayrıcalıklı erişim elde etmek için çalınan bir API anahtarını ve iki sıfır gün güvenlik açığını (CVE-2024-12356 ve CVE-2024-12686) kullandı.
BeyondTrust, 2 Aralık’ta anormal bir faaliyet tespit etti, ihlali 5 Aralık’a kadar doğruladı ve üç gün sonra Hazine Bakanlığı’na bildirimde bulundu.
Soruşturmalar, saldırganların tespit edilmekten kaçınmak için normal iş saatleri dışında çalıştıklarını ve kesinti yerine veri toplamaya öncelik verdiklerini ortaya çıkardı. Güvenliği ihlal edilen BeyondTrust hizmeti, ihlal tespit edildikten sonra derhal çevrimdışına alındı.
Hazine Bakanlığı, saldırının tam etkisini değerlendirmek için FBI, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve harici adli tıp uzmanlarıyla işbirliği yapıyor. Yetkililer, azaltma çabalarının ardından bilgisayar korsanlarının erişime devam ettiğine dair hiçbir kanıt bulunmadığını garanti etti.
Hazine yetkilileri, milletvekillerine yazdığı bir mektupta, üçüncü taraf satıcıların güvenlik açıklarına ilişkin endişeleri vurguladı ve BeyondTrust gibi harici siber güvenlik sağlayıcılarına olan bağımlılıklarını yeniden değerlendirme sözü verdi. Bakanlık, bu olayın ışığında siber savunmasını güçlendirme konusundaki kararlılığını vurguladı.
Çin hükümeti saldırıyla herhangi bir ilgisi olduğunu reddetti. Çin Dışişleri Bakanlığı’ndan bir sözcü, iddiaları temelsiz ve siyasi amaçlı olduğu gerekçesiyle reddetti ve Çin’in her türlü bilgisayar korsanlığına karşı olduğunu yineledi.
Bu inkar, Çin devleti destekli gruplara atfedilen önceki ihlaller de dahil olmak üzere, ABD ile Çin arasında siber güvenlik sorunları nedeniyle artan gerilimlerin ortasında geldi.
Bu ihlal, ulus devletlerle bağlantılı gelişmiş kalıcı tehdit (APT) aktörlerinin oluşturduğu kalıcı tehdidin altını çiziyor. Ayrıca devlet kurumları tarafından kullanılan üçüncü taraf yazılım hizmetlerindeki güvenlik açıklarını da vurguluyor.
Olay, tedarik zinciri güvenliği ve kritik BT altyapısını sağlayan dış satıcıların daha sıkı denetlenmesi ihtiyacı konusundaki tartışmaları yeniden alevlendirdi.
Soruşturmalar devam ederken milletvekillerinin hem Hazine Bakanlığı’nın siber güvenlik protokollerini hem de BeyondTrust’un bu ihlali mümkün kılmadaki rolünü incelemesi bekleniyor.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri