Φορείς απειλών που χρηματοδοτούνται από το κινεζικό κράτος εισέβαλαν στο Υπουργείο Οικονομικών των ΗΠΑ αφού παραβίασαν μια πλατφόρμα απομακρυσμένης υποστήριξης που χρησιμοποιείται από την ομοσπονδιακή υπηρεσία.
Σε επιστολή που εστάλη στους νομοθέτες και είδαν οι New York Times, το Υπουργείο Οικονομικών προειδοποίησε τους νομοθέτες ότι ενημερώθηκε για πρώτη φορά για την παραβίαση στις 8 Δεκεμβρίου από τον πωλητή του BeyondTrust.
Η BeyondTrust είναι μια προνομιακή εταιρεία διαχείρισης πρόσβασης που προσφέρει επίσης μια πλατφόρμα SaaS απομακρυσμένης υποστήριξης που μπορεί να χρησιμοποιηθεί για απομακρυσμένη πρόσβαση σε υπολογιστές.
«Με βάση τους διαθέσιμους δείκτες, το περιστατικό έχει αποδοθεί σε έναν ηθοποιό της Προηγμένης Μόνιμης Απειλής (APT) που χρηματοδοτείται από την Κίνα», αναφέρεται στην επιστολή που είδε η New York Times.
“Σύμφωνα με την πολιτική του Υπουργείου Οικονομικών, οι εισβολές που αποδίδονται σε ένα APT θεωρούνται σημαντικό περιστατικό ασφάλειας στον κυβερνοχώρο.”
Νωρίτερα αυτό το μήνα, η BleepingComputer ανέφερε ότι το BeyondTrust είχε παραβιαστεί, με τους παράγοντες απειλών να αποκτούν πρόσβαση σε ορισμένες από τις περιπτώσεις Remote Support SaaS της εταιρείας.
Ως μέρος αυτής της παραβίασης, οι φορείς απειλών χρησιμοποίησαν ένα κλεμμένο κλειδί Remote Support SaaS API για να επαναφέρουν τους κωδικούς πρόσβασης για λογαριασμούς τοπικών εφαρμογών και να αποκτήσουν περαιτέρω προνομιακή πρόσβαση στα συστήματα.
Μετά τη διερεύνηση της επίθεσης, το BeyondTrust ανακάλυψε δύο τρωτά σημεία μηδενικής ημέρας, τα CVE-2024-12356 και CVE-2024-12686, τα οποία επέτρεπαν στους παράγοντες απειλών να παραβιάσουν και να αναλάβουν περιπτώσεις απομακρυσμένης υποστήριξης SaaS.
Καθώς το Υπουργείο Οικονομικών ήταν πελάτης μιας από αυτές τις παραβιασμένες περιπτώσεις, οι φορείς απειλών μπόρεσαν να χρησιμοποιήσουν την πλατφόρμα για να αποκτήσουν πρόσβαση σε υπολογιστές πρακτορείων και να κλέψουν έγγραφα εξ αποστάσεως.
Αφού η BeyondTrust εντόπισε την παραβίαση, έκλεισε όλες τις παραβιασμένες παρουσίες και ανακάλεσε το κλεμμένο κλειδί API.
Η επιστολή αναφέρει ότι το FBI και η CISA βοήθησαν στην έρευνα για την παραβίαση του Υπουργείου Οικονομικών και δεν υπάρχουν στοιχεία ότι οι κινέζοι παράγοντες απειλών εξακολουθούν να έχουν πρόσβαση στους υπολογιστές της υπηρεσίας τώρα που οι παραβιασμένες περιπτώσεις έκλεισαν.
Οι κινεζικοί κρατικοί φορείς απειλών με το όνομα “Salt Typhoon” έχουν επίσης συνδεθεί με πρόσφατες εισβολές εννέα αμερικανικών εταιρειών τηλεπικοινωνιών, συμπεριλαμβανομένων των Verizon, AT&T, Lument και T-Mobile. Οι παράγοντες της απειλής πιστεύεται ότι έχουν παραβιάσει εταιρείες τηλεπικοινωνιών σε δεκάδες άλλες χώρες.
Οι φορείς απειλών χρησιμοποίησαν αυτήν την πρόσβαση για να στοχεύσουν τα μηνύματα κειμένου, τα φωνητικά μηνύματα και τις τηλεφωνικές κλήσεις στοχευμένων ατόμων και για να έχουν πρόσβαση σε πληροφορίες υποκλοπών όσων ερευνώνται από τις αρχές επιβολής του νόμου.
Από αυτό το κύμα παραβιάσεων των τηλεπικοινωνιών, η CISA προέτρεψε τους ανώτερους κυβερνητικούς αξιωματούχους να στραφούν σε εφαρμογές κρυπτογραφημένων μηνυμάτων από άκρο σε άκρο, όπως το Signal, για να μειώσουν τους κινδύνους υποκλοπής επικοινωνίας.
Η αμερικανική κυβέρνηση φέρεται να σχεδιάζει να απαγορεύσει τις τελευταίες ενεργές δραστηριότητες της China Telecom στις ΗΠΑ ως απάντηση στις τηλεπικοινωνιακές εισβολές.
Η BleepingComputer έστειλε περαιτέρω ερωτήσεις στο Στέιτ Ντιπάρτμεντ σχετικά με την παραβίαση, αλλά δεν έχει λάβει ακόμη απάντηση.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
