Incydent w Departamencie Skarbu USA stanowi wyraźne ostrzeżenie dotyczące bezpieczeństwa łańcucha dostaw w 2025 r


Duży sponsorowany przez państwo incydent cybernetyczny wydaje się, że wymierzony w Departament Skarbu Stanów Zjednoczonych na kilka tygodni przed Bożym Narodzeniem 2024 r. rozpoczął się w wyniku kompromisu z zewnętrznym dostawcą wsparcia technicznego, co stanowi ostrzeżenie dotyczące niepewnego bezpieczeństwa i wrażliwego charakteru łańcuchów dostaw technologii zarówno dla firm IT, jak i ich klientów.

Cyberatak był rzekomo dziełem nieujawnionego, wspieranego przez Chiny ugrupowania zaawansowanego trwałego zagrożenia (APT) i według „Washington Post”.jego celem było m.in Urząd Kontroli Aktywów Zagranicznych (OFAC), departament skarbu, który administruje i egzekwuje zagraniczne sankcje wobec osób, organizacji i krajów.

Ze względu na swoje zaangażowanie w sankcje i działania egzekucyjne wobec złośliwych cyberprzestępców – odegrał kluczową rolę w międzynarodowych operacjach przeciwko motywowanym finansowo gangom zajmującym się oprogramowaniem ransomware – OFAC stanowi bardzo oczywisty cel dla podmiotów zagrażających.

W liście do senatorów Sherroda Browna i Tima Scotta, którzy zasiadają w Komisji Bankowości, Mieszkalnictwa i Spraw Miejskich – którego kopia została przejrzana przez Tygodnik Komputerowy – Zastępca sekretarza skarbu ds. zarządzania Aditi Hardikar potwierdził, że 8 grudnia 2024 r. niezależny dostawca usług oprogramowania powiadomił departament o tym, że doszło do naruszenia bezpieczeństwa.

Organizacja, o której mowa, Poza zaufaniemstwierdził, że APT uzyskało dostęp do klucza, którego używał do zabezpieczenia usługi zdalnego wsparcia technicznego w chmurze.

„Dzięki dostępowi do skradzionego klucza osoba zagrażająca mogła obejść zabezpieczenia usługi, uzyskać zdalny dostęp do niektórych stacji roboczych użytkowników Treasury DO i uzyskać dostęp do niektórych jawnych dokumentów przechowywanych przez tych użytkowników” – napisał Hardikar.

Reklama

„Skarb współpracował z Agencją ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA), Federalnym Biurem Śledczym (FBI), Wspólnotą Wywiadowczą i zewnętrznymi śledczymi, aby w pełni scharakteryzować incydent i określić jego ogólny wpływ.

„Na podstawie dostępnych wskaźników incydent przypisano sponsorowanemu przez państwo chińskiemu podmiotowi APT. Zaatakowana usługa BeyondTrust została wyłączona i w tej chwili nie ma dowodów wskazujących, że podmiot zagrażający nadal ma dostęp do informacji skarbowych” – napisał Hardikar.

Władze chińskie zaprzeczyli zarzutom Amerykanówa rzecznik ambasady Pekinu w Waszyngtonie określił je jako „irracjonalne” i stanowiące część „kampanii oszczerstw”.

Luki w zabezpieczeniach BeyondTrust

Firma technologiczna będąca w centrum incydentu, BeyondTrust, to dostawca z siedzibą w USA, którego korzenie sięgają połowy lat 80. XX wieku. Specjalizuje się w uprzywilejowane zarządzanie tożsamością I zarządzanie dostępem uprzywilejowanym (PIM/PAM), uprzywilejowany dostęp zdalny i usługi zarządzania lukami w zabezpieczeniach. Obsługuje ponad 20 000 klientów w 100 krajach, w tym takie firmy technologiczne, jak Axians i ServiceNow.

To też szczególnie dobrze wykorzystywane w sektorze publicznymz wieloma klientami z władz lokalnych, opieki zdrowotnej i przedsiębiorstw użyteczności publicznej, w tym z wieloma organami NHS w Wielkiej Brytanii.

W oświadczeniu zamieszczonym na swojej stronie internetowejFirma BeyondTrust stwierdziła, że ​​zidentyfikowała incydent wpływający na „ograniczoną liczbę” klientów usługi Remote Support SaaS, który powstał w wyniku naruszenia bezpieczeństwa klucza interfejsu programowania aplikacji (API). Unieważniła klucz natychmiast po zakończeniu analizy pierwotnej przyczyny problemu technicznego SaaS w ramach zdalnego wsparcia w dniu 5 grudnia 2024 r. i zaczęła powiadamiać zainteresowanych użytkowników, w tym Ministerstwo Skarbu.

Od tego czasu zidentyfikował dwie konkretne luki w zabezpieczeniach linii produktów Remote Support i Privileged Remote Access – jedną o wadze krytycznej i drugą o średniej ważności. Nadano im oznaczenia CVE-2024-12356 I CVE-2024-12686 odpowiednio. Obie wersje zostały poprawione zarówno dla wersji hostowanych w chmurze, jak i wersji lokalnych od 18 grudnia 2024 r.

Według BeyondTrust problemem są luki w zabezpieczeniach polegające na wstrzykiwaniu poleceń, które po pomyślnym wykorzystaniu umożliwiają nieuwierzytelnionemu zdalnemu atakującemu wykonanie poleceń systemu operacyjnego w kontekście użytkownika witryny.

Poinformował o tym rzecznik BeyondTrust Tygodnik Komputerowy: „BeyondTrust wcześniej zidentyfikował i podjął działania w celu zaradzenia incydentowi bezpieczeństwa, który miał miejsce na początku grudnia 2024 r. i który dotyczył produktu Remote Support. Firma BeyondTrust powiadomiła ograniczoną liczbę zaangażowanych klientów i od tego czasu stara się zapewnić im wsparcie. Żadne inne produkty BeyondTrust nie były zaangażowane. Powiadomiono organy ścigania, a BeyondTrust wspiera działania dochodzeniowe”.

Łańcuch dostaw bezpieczeństwa nadal będzie poważnym problemem w 2025 r

Po tym incydencie firma BeyondTrust staje się niestety kolejną z długiej listy specjalistów ds. bezpieczeństwa cybernetycznego, którzy trafiają na pierwsze strony gazet po ujawnieniu produktów i rozwiązań zaprojektowanych z myślą o zapewnieniu bezpieczeństwa użytkownikom końcowym.

Avishai Avivi, CISO at Bezpieczne naruszeniedostawca narzędzi do symulacji naruszeń i ataków, wyjaśnił, jak prawdopodobnie doszło do naruszenia. „BeyondTrust, jak na ironię, zapewnia pracownikom wsparcia IT bezpieczną metodę zdalnego wsparcia użytkowników końcowych” – powiedział. „Ta metoda polega na ustanowieniu zaufanego połączenia między osobą obsługującą a użytkownikiem końcowym.

„To zaufane połączenie przełamuje tradycyjne zabezpieczenia obwodowe i zapewnia osobie obsługującej pełny dostęp i kontrolę nad stacją roboczą użytkownika końcowego. Po wejściu do środka osoba obsługująca może odesłać dokumenty bezpiecznym kanałem lub udawać użytkownika końcowego i bezpośrednio wysłać te same dokumenty.

„Środki kontroli bezpieczeństwa chroniące sieć skarbu USA nie mają możliwości wykrycia, że ​​dzieje się coś złego, ponieważ zaufane połączenie jest, cóż, zaufane.

„Czy było coś, co Departament Skarbu USA mógł zrobić, aby temu zapobiec? Smutna odpowiedź wydaje się brzmieć: tak. Ponownie, odnosząc się do informacji technicznych dostarczonych przez BeyondTrust, administratorzy systemu w Departamencie Skarbu USA lub dostawca, który prawdopodobnie będzie świadczył usługi wsparcia, nie skonfigurowali zaufanych lokalizacji, z których mogliby się łączyć agenci wsparcia. Nazywamy to tzw Biała lista adresów IP [allowlisting].

„Ta awaria stanowi krytyczne ryzyko w przypadku każdej takiej usługi [and] ten sam problem doprowadził do znaczących naruszeń w latach 2023 i 2024. Z tego powodu nalegamy, aby wszyscy dostawcy usług, zwłaszcza zaufani dostawcy usług ICT, postępowali zgodnie z CISA Secure-by-Default przewodnictwo.”



Source link

Advertisment

Więcej

Advertisment

Podobne

Advertisment

Najnowsze

Yeston przedstawia kartę Radeon RX 9070 XT 16 GB „Sakura Atlantis”

AMD oficjalne ogłoszenie nowej generacji procesorów graficznych RDNA 4 – składającej się z Radeon RX 9070 XT i Radeon RX 9070 – wymieniło...

ESR dla recenzji banku mocy MagSafe

Pakiety baterii MagSafe zmieniły przenośne ładowanie dla użytkowników iPhone'a. W przeciwieństwie do tradycyjnych, przewodowych powerbanków, które do ładowania telefonu wymagają kabla, baterie MagSafe...

O której godzinie ukaże się Honkai: Star Rail 3.0?

Honkai: Kolej gwiezdna'S Łatka 3.0 już wkrótce, a wraz z nim nowe postacie i historia. Ta aktualizacja jest ważna, ponieważ gang podróżuje na...
Advertisment