CISA: хакерский взлом Минфина США ограничился только Казначейством

CISA: хакерский взлом Минфина США ограничился только Казначейством

источник: dall-e

Агентство по кибербезопасности и защите инфраструктуры США (CISA) подтвердило, что кибератака на Министерство финансов США, о которой стало известно на прошлой неделе, затронула только Казначейство. CISA сообщило, что продолжает следить за ситуацией и координирует действия с федеральными органами власти для обеспечения комплексного реагирования.

Первоначально инцидент был выявлен после того, как компания BeyondTrust, предоставляющая решения удалённой поддержки, уведомила о взломе своего экземпляра 8 декабря 2024 года. Нападающие использовали украденный API-ключ удалённой поддержки SaaS, чтобы получить доступ к сетям Министерства финансов США.

Техники и механизмы атаки

Атака классифицирована как спонсируемая государством, связанная с группировкой Advanced Persistent Threat (APT). Использование украденного API-ключа для доступа к системе SaaS подчеркивает уязвимость цепочки поставок, где третьи стороны становятся точкой входа для злоумышленников.

  • Эксплуатация API-ключа: Злоумышленники получили неавторизованный доступ через скомпрометированный ключ, что позволило им осуществить атаку на сервис удалённой поддержки.
  • Сложные методы скрытности: Отсутствие доказательств сохраняющегося доступа после закрытия скомпрометированного экземпляра BeyondTrust указывает на высокий уровень профессионализма группы.
  • Целевые разведывательные действия: Основная цель атаки – получение данных Управления по контролю за иностранными активами (OFAC) для анализа возможных будущих санкций США против Китая.

Оценка последствий

Атака затронула также Управление финансовых исследований Казначейства США. Несмотря на это, на данный момент официальные лица заявляют об отсутствии доказательств того, что доступ к системам сохраняется.

В соответствии с политикой Министерства финансов, атаки, приписываемые APT-группам, классифицируются как «серьёзные инциденты кибербезопасности», требующие незамедлительного реагирования.

Тренды и рекомендации

Этот инцидент указывает на растущую тенденцию использования уязвимостей в цепочке поставок и решений удалённого доступа для атак, связанных с кибершпионажем. Глобальные тренды в подобных атаках:

  1. Увеличение атак на API и SaaS: API-ключи становятся уязвимым местом для целевых атак.
  2. Сложные техники APT-групп: Использование утончённых методов для скрытного доступа и сбора разведывательной информации.
  3. Фокус на ключевых органах власти: Целевые атаки на органы, связанные с национальной безопасностью и международной политикой.

«Безопасность федеральных систем и защищаемых ими данных имеет решающее значение для нашей национальной безопасности. Мы активно работаем над предотвращением любых дальнейших последствий и будем предоставлять обновления по мере необходимости», — заявили в Агентстве по кибербезопасности США.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: