Çin devleti destekli tehdit aktörleri, federal kurum tarafından kullanılan uzaktan destek platformunu ihlal ettikten sonra ABD Hazine Bakanlığı’nı hackledi.
Milletvekillerine gönderilen ve New York Times’ın da gördüğü bir mektupta Hazine Bakanlığı, kanun yapıcıları ihlal konusunda ilk kez 8 Aralık’ta satıcı BeyondTrust tarafından bilgilendirildiği konusunda uyardı.
BeyondTrust, bilgisayarlara uzaktan erişmek için kullanılabilecek bir uzaktan destek SaaS platformu da sunan ayrıcalıklı bir erişim yönetimi şirketidir.
New York Times’ın gördüğü mektupta, “Mevcut göstergelere göre olay, Çin devleti destekli Gelişmiş Kalıcı Tehdit (APT) aktörüne atfedildi” deniyor.
“Hazine politikası uyarınca, APT’ye atfedilebilecek izinsiz girişler büyük bir siber güvenlik olayı olarak değerlendiriliyor.”
Bu ayın başlarında BleepingComputer, BeyondTrust’un ihlal edildiğini ve tehdit aktörlerinin şirketin Uzaktan Destek SaaS örneklerinin bazılarına erişim sağladığını bildirdi.
Bu ihlalin bir parçası olarak tehdit aktörleri, yerel uygulama hesaplarının şifrelerini sıfırlamak ve sistemlere daha fazla ayrıcalıklı erişim elde etmek için çalınan Uzaktan Destek SaaS API anahtarını kullandı.
Saldırıyı araştırdıktan sonra BeyondTrust, tehdit aktörlerinin Uzaktan Destek SaaS örneklerini ihlal etmesine ve ele geçirmesine olanak tanıyan iki sıfır gün güvenlik açığını (CVE-2024-12356 ve CVE-2024-12686) keşfetti.
Hazine Bakanlığı bu ele geçirilen bulut sunucularından birinin müşterisi olduğundan, tehdit aktörleri platformu kullanarak kurum bilgisayarlarına erişebildi ve belgeleri uzaktan çaldı.
BeyondTrust ihlali tespit ettikten sonra güvenliği ihlal edilen tüm örnekleri kapattı ve çalınan API anahtarını iptal etti.
Mektupta, FBI ve CISA’nın Hazine Bakanlığı ihlaliyle ilgili soruşturmaya yardımcı olduğu belirtiliyor ve ele geçirilen örnekler kapatıldıktan sonra Çinli tehdit aktörlerinin hâlâ teşkilatın bilgisayarlarına erişebildiğine dair hiçbir kanıt bulunmuyor.
“Salt Typhoon” adlı Çin devleti destekli tehdit aktörlerinin, aralarında Verizon, AT&T, Lument ve T-Mobile’ın da bulunduğu dokuz ABD telekomünikasyon şirketine yönelik son saldırılarla da bağlantısı bulunuyor. Tehdit aktörlerinin düzinelerce başka ülkedeki telekom şirketlerine sızma yaptığına inanılıyor.
Tehdit aktörleri bu erişimi, hedeflenen kişilerin kısa mesajlarını, sesli mesajlarını ve telefon çağrılarını hedeflemek ve kolluk kuvvetleri tarafından soruşturulan kişilerin telefon dinleme bilgilerine erişmek için kullandı.
Bu telekom ihlalleri dalgasından bu yana CISA, üst düzey hükümet yetkililerini iletişimin dinlenme risklerini azaltmak için Signal gibi uçtan uca şifreli mesajlaşma uygulamalarına geçmeye çağırdı.
ABD hükümetinin telekom saldırılarına yanıt olarak China Telecom’un son aktif ABD operasyonlarını yasaklamayı planladığı bildiriliyor.
BleepingComputer, ihlalle ilgili olarak Dışişleri Bakanlığı’na başka sorular gönderdi ancak henüz bir yanıt alamadı.