Silk Typhoon olarak takip edilen Çin devleti destekli bilgisayar korsanlarının, Aralık ayı başında ABD Yabancı Varlıklar Kontrol Ofisi (OFAC) hackiyle bağlantısı olduğu ortaya çıktı.
Geçen ay BleepingComputer, Hazine’nin önemli bir siber güvenlik olayını açıkladığını bildirdi. Saldırganlar, çalınan Uzaktan Destek SaaS API anahtarını kullanarak Hazine tarafından kullanılan BeyondTrust örneğinin güvenliğini ihlal ederek bakanlığın ağını ihlal etmelerine olanak sağladı.
Tehdit aktörleri aynı zamanda Hazine Mali Araştırmalar Ofisi’ni de hackledi ancak bu ihlalin etkisi halen değerlendiriliyor. Ancak Çinli bilgisayar korsanlarının, ele geçirilen BeyondTrust örneği kapatıldıktan sonra Hazine sistemlerine erişimi sürdürdüklerine dair hiçbir kanıt yoktu. CISA ayrıca Pazartesi günü Hazine Bakanlığı ihlalinin diğer federal kurumları etkilemediğini söyledi.
Geçtiğimiz hafta Kongre’ye gönderilen bir mektupta Hazine, uzaktan destek sağlayıcısı BeyondTrust’un kendisine güvenlik ihlali konusunda ilk olarak 8 Aralık’ta bildirimde bulunduğunu söyledi. O tarihten bu yana ABD’li yetkililer, bilgisayar korsanlarının özellikle ticari ve ekonomik yaptırım programlarını yöneten ve uygulayan OFAC’ı hedef aldığını ve muhtemelen ABD’nin hangi Çinli bireylere ve kuruluşlara yaptırım uygulamayı düşünebileceğine dair istihbarat toplamayı amaçladıklarını açıkladı.
Çarşamba günü bir Bloomberg raporu bu hipotezi doğruladı ve saldırıyı Silk Typhoon hack grubuna bağladı. Konuya aşina olan iki kişiye göre, grubun “üçüncü taraf bir hizmet sağlayıcısı olan BeyondTrust Inc.’den bir dijital anahtar çaldığına ve bunu potansiyel yaptırım eylemleri ve diğer belgelerle ilgili gizli olmayan bilgilere erişmek için kullandığına inanılıyor.”
Silk Typhoon (Hafnium olarak da bilinir), Amerika Birleşik Devletleri, Avustralya, Japonya ve Vietnam’da savunma müteahhitleri, politika düşünce kuruluşları ve sivil toplum kuruluşları da dahil olmak üzere çok çeşitli hedeflere saldırmasıyla bilinen bir Çin ulus-devlet hackleme grubudur. STK’lar) yanı sıra sağlık hizmetleri, hukuk firmaları ve yüksek öğrenim kuruluşları.
Bu Gelişmiş Kalıcı Tehdit (APT) grubunun siber casusluk kampanyaları, sıfır gün güvenlik açıklarını ve China Chopper web kabuğu gibi araçları kullanarak temel olarak veri hırsızlığı ve keşif üzerine odaklanıyor.
Hafnium, 2021’de Microsoft Exchange Server’ın sıfır gün kusurlarından (topluca ProxyLogon olarak bilinir) yararlanarak güvenlik yamaları yayınlandığında tahmini 68.500 Exchange sunucusunun tehlikeye atılmasının ardından daha yaygın olarak tanındı.
Aynı Bloomberg raporuna göre Biden yönetimi, ABD hükümetinin siber güvenlik savunmasını güçlendirmek için de bir başkanlık emri geliştiriyor.
Karar, “güçlü kimlik doğrulama ve şifreleme”nin uygulanmasını ve bulut hizmet sağlayıcıları için yeni yönergeler geliştirilmesini gerektirecek. Bu yönergeler, çok faktörlü kimlik doğrulamanın, karmaşık parolaların kullanılmasını ve donanım güvenlik anahtarlarını kullanarak şifreleme anahtarlarının saklanmasını zorunlu kılacaktır.