ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Pazartesi günü, Hazine Bakanlığı’nın, BeyondTrust Uzaktan Destek SaaS örneklerinin ele geçirildiği son siber güvenlik olayından etkilenen tek ABD federal kurumu olduğunu paylaştı.
Aynı gün BeyondTrust durumla ilgili bir güncelleme sundu: Şirket, olayla ilgili adli soruşturmanın tamamlanmaya yaklaştığını söyledi ve etkilenen bulut sunucularının ilk kümesinin keşfedilmesinden ve bu müşterilerin bilgilendirilmesinden bu yana etkilenen başka bir müşterinin tespit edilmediğini kaydetti. .
Soruşturma neyi ortaya çıkardı?
Aralık 2024’ün başlarında BeyondTrust, Uzaktan Destek SaaS’ın “sınırlı sayıda” müşteri örneğinde anormal davranış tespit etti ve güvenliği ihlal edilmiş bir örnek için “yerel uygulama hesaplarının parola sıfırlamalarına izin veren” bir API anahtarının ele geçirildiğini keşfetti.
Etkilenen müşteriler, anahtarın iptal edildiğini, bulut sunucularının askıya alındığını ve karantinaya alındığını bildirdi.
Olayla ilgili soruşturma daha sonra BeyondTrust’un Ayrıcalıklı Uzaktan Erişim (PRA) ve Uzaktan Destek (RS) ürünlerini etkileyen iki ayrı güvenlik açığını ortaya çıkardı; bunlardan biri saldırıda istismar edildi.
30 Aralık’ta New York Times, Hazine Bakanlığı tarafından ABD milletvekillerine gönderilen, saldırının birkaç hükümet çalışanının iş istasyonlarının ve bazı gizli olmayan belgelerin ele geçirilmesiyle sonuçlandığını doğrulayan ve saldırıyı “Çin devletine” atfeden bir mektup hakkında haber yaptı. Gelişmiş Kalıcı Tehdit (APT) aktörünün sponsorluğunu üstlendi.”
Daha spesifik olarak saldırganlar, bakanlığın ekonomik ve ticari yaptırımları yöneten ve uygulayan Mali Araştırma Ofisi ve Yabancı Varlıklar Kontrol Ofisi’ndeki iş istasyonlarını ele geçirmeyi başardı.
Çin dışişleri bakanlığı iddiaya itiraz etti.
Geçen hafta Hazine Bakanlığı, Pekin merkezli siber güvenlik şirketi Integrity Technology Group’a, Flax Typhoon APT grubu tarafından ABD’li kurbanlara yönelik bilgisayarlara izinsiz giriş olaylarına yardım etmesi nedeniyle yaptırım uyguladı.
Ajans Pazartesi günü yaptığı açıklamada, “CISA durumu izlemeye ve kapsamlı bir yanıt sağlamak için ilgili federal yetkililerle koordinasyon sağlamaya devam ediyor” dedi. “Daha fazla etkiye karşı koruma sağlamak için agresif bir şekilde çalışıyoruz ve uygun şekilde güncellemeler sağlayacağız.”