Amerika Birleşik Devletleri Hazine Bakanlığı, şüpheli Çinli tehdit aktörlerinin bazı bilgisayarlara ve gizli olmayan belgelere uzaktan erişmesine izin veren “büyük bir siber güvenlik olayına” maruz kaldığını söyledi.
“8 Aralık 2024’te Hazine, üçüncü taraf yazılım hizmet sağlayıcısı BeyondTrust tarafından, bir tehdit aktörünün, Hazine’ye uzaktan teknik destek sağlamak için kullanılan bulut tabanlı bir hizmetin güvenliğini sağlamak için satıcı tarafından kullanılan bir anahtara erişim elde ettiği konusunda bilgilendirildi. Bakanlık, Bankacılık, Konut ve Şehir İşleri Senato Komitesi’ni bilgilendiren bir mektupta, “Departman Ofisleri (DO) son kullanıcıları” dedi.
“Tehdit aktörü, çalınan anahtara erişim sayesinde hizmetin güvenliğini geçersiz kılabildi, belirli Hazine DO kullanıcı iş istasyonlarına uzaktan erişebildi ve bu kullanıcılar tarafından tutulan bazı sınıflandırılmamış belgelere erişebildi.”
Federal kurum, Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI) ile birlikte çalıştığını ve mevcut kanıtların bunun isimsiz bir devlet destekli Gelişmiş Kalıcı Tehdit (APT) işi olduğuna işaret ettiğini söyledi. Çin’den aktör.
Hazine Bakanlığı ayrıca BeyondTrust hizmetini çevrimdışına aldığını belirterek, tehdit aktörlerinin ortama erişim sağladığına dair hiçbir kanıt bulunmadığını da sözlerine ekledi.
Bu ayın başlarında BeyondTrust, kötü niyetli kişilerin Uzaktan Destek SaaS örneklerinden bazılarını ihlal etmesine olanak tanıyan bir dijital saldırının kurbanı olduğunu açıkladı.
Şirket, olayla ilgili soruşturmada saldırganların, yerel uygulama hesaplarının şifrelerini sıfırlamalarına olanak tanıyan Uzaktan Destek SaaS API anahtarına erişim elde ettiğini tespit ettiğini söyledi. BeyondTrust henüz anahtarın nasıl elde edildiğini açıklamadı.
“BeyondTrust, API anahtarını derhal iptal etti, etkilenen bilinen müşterileri bilgilendirdi ve bu müşterilere alternatif Uzaktan Destek SaaS örnekleri sağlarken aynı gün bu örnekleri askıya aldı” dedi.
Araştırma ayrıca Ayrıcalıklı Uzaktan Erişim (PRA) ve Uzaktan Destek (RS) ürünlerinde (CVE-2024-12356, CVSS puanı: 9,8 ve CVE-2024-12686, CVSS puanı: 6,6) iki güvenlik açığını ortaya çıkardı. CISA’nın Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğuna, vahşi doğada aktif istismarın kanıtları öne sürülerek eklendi.
Açıklama, birçok ABD telekomünikasyon sağlayıcısının kendilerini Salt Typhoon adlı başka bir Çin devlet destekli tehdit aktörünün hedefinde bulması üzerine geldi.