Duży sponsorowany przez państwo incydent cybernetyczny wydaje się, że wymierzony w Departament Skarbu Stanów Zjednoczonych na kilka tygodni przed Bożym Narodzeniem 2024 r. rozpoczął się w wyniku kompromisu z zewnętrznym dostawcą wsparcia technicznego, co stanowi ostrzeżenie dotyczące niepewnego bezpieczeństwa i wrażliwego charakteru łańcuchów dostaw technologii zarówno dla firm IT, jak i ich klientów.
Cyberatak był rzekomo dziełem nieujawnionego, wspieranego przez Chiny ugrupowania zaawansowanego trwałego zagrożenia (APT) i według „Washington Post”.jego celem było m.in Urząd Kontroli Aktywów Zagranicznych (OFAC), departament skarbu, który administruje i egzekwuje zagraniczne sankcje wobec osób, organizacji i krajów.
Ze względu na swoje zaangażowanie w sankcje i działania egzekucyjne wobec złośliwych cyberprzestępców – odegrał kluczową rolę w międzynarodowych operacjach przeciwko motywowanym finansowo gangom zajmującym się oprogramowaniem ransomware – OFAC stanowi bardzo oczywisty cel dla podmiotów zagrażających.
W liście do senatorów Sherroda Browna i Tima Scotta, którzy zasiadają w Komisji Bankowości, Mieszkalnictwa i Spraw Miejskich – którego kopia została przejrzana przez Tygodnik Komputerowy – Zastępca sekretarza skarbu ds. zarządzania Aditi Hardikar potwierdził, że 8 grudnia 2024 r. niezależny dostawca usług oprogramowania powiadomił departament o tym, że doszło do naruszenia bezpieczeństwa.
Organizacja, o której mowa, Poza zaufaniemstwierdził, że APT uzyskało dostęp do klucza, którego używał do zabezpieczenia usługi zdalnego wsparcia technicznego w chmurze.
„Dzięki dostępowi do skradzionego klucza osoba zagrażająca mogła obejść zabezpieczenia usługi, uzyskać zdalny dostęp do niektórych stacji roboczych użytkowników Treasury DO i uzyskać dostęp do niektórych jawnych dokumentów przechowywanych przez tych użytkowników” – napisał Hardikar.
„Skarb współpracował z Agencją ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA), Federalnym Biurem Śledczym (FBI), Wspólnotą Wywiadowczą i zewnętrznymi śledczymi, aby w pełni scharakteryzować incydent i określić jego ogólny wpływ.
„Na podstawie dostępnych wskaźników incydent przypisano sponsorowanemu przez państwo chińskiemu podmiotowi APT. Zaatakowana usługa BeyondTrust została wyłączona i w tej chwili nie ma dowodów wskazujących, że podmiot zagrażający nadal ma dostęp do informacji skarbowych” – napisał Hardikar.
Władze chińskie zaprzeczyli zarzutom Amerykanówa rzecznik ambasady Pekinu w Waszyngtonie określił je jako „irracjonalne” i stanowiące część „kampanii oszczerstw”.
Luki w zabezpieczeniach BeyondTrust
Firma technologiczna będąca w centrum incydentu, BeyondTrust, to dostawca z siedzibą w USA, którego korzenie sięgają połowy lat 80. XX wieku. Specjalizuje się w uprzywilejowane zarządzanie tożsamością I zarządzanie dostępem uprzywilejowanym (PIM/PAM), uprzywilejowany dostęp zdalny i usługi zarządzania lukami w zabezpieczeniach. Obsługuje ponad 20 000 klientów w 100 krajach, w tym takie firmy technologiczne, jak Axians i ServiceNow.
To też szczególnie dobrze wykorzystywane w sektorze publicznymz wieloma klientami z władz lokalnych, opieki zdrowotnej i przedsiębiorstw użyteczności publicznej, w tym z wieloma organami NHS w Wielkiej Brytanii.
W oświadczeniu zamieszczonym na swojej stronie internetowejFirma BeyondTrust stwierdziła, że zidentyfikowała incydent wpływający na „ograniczoną liczbę” klientów usługi Remote Support SaaS, który powstał w wyniku naruszenia bezpieczeństwa klucza interfejsu programowania aplikacji (API). Unieważniła klucz natychmiast po zakończeniu analizy pierwotnej przyczyny problemu technicznego SaaS w ramach zdalnego wsparcia w dniu 5 grudnia 2024 r. i zaczęła powiadamiać zainteresowanych użytkowników, w tym Ministerstwo Skarbu.
Od tego czasu zidentyfikował dwie konkretne luki w zabezpieczeniach linii produktów Remote Support i Privileged Remote Access – jedną o wadze krytycznej i drugą o średniej ważności. Nadano im oznaczenia CVE-2024-12356 I CVE-2024-12686 odpowiednio. Obie wersje zostały poprawione zarówno dla wersji hostowanych w chmurze, jak i wersji lokalnych od 18 grudnia 2024 r.
Według BeyondTrust problemem są luki w zabezpieczeniach polegające na wstrzykiwaniu poleceń, które po pomyślnym wykorzystaniu umożliwiają nieuwierzytelnionemu zdalnemu atakującemu wykonanie poleceń systemu operacyjnego w kontekście użytkownika witryny.
Poinformował o tym rzecznik BeyondTrust Tygodnik Komputerowy: „BeyondTrust wcześniej zidentyfikował i podjął działania w celu zaradzenia incydentowi bezpieczeństwa, który miał miejsce na początku grudnia 2024 r. i który dotyczył produktu Remote Support. Firma BeyondTrust powiadomiła ograniczoną liczbę zaangażowanych klientów i od tego czasu stara się zapewnić im wsparcie. Żadne inne produkty BeyondTrust nie były zaangażowane. Powiadomiono organy ścigania, a BeyondTrust wspiera działania dochodzeniowe”.
Łańcuch dostaw bezpieczeństwa nadal będzie poważnym problemem w 2025 r
Po tym incydencie firma BeyondTrust staje się niestety kolejną z długiej listy specjalistów ds. bezpieczeństwa cybernetycznego, którzy trafiają na pierwsze strony gazet po ujawnieniu produktów i rozwiązań zaprojektowanych z myślą o zapewnieniu bezpieczeństwa użytkownikom końcowym.
Avishai Avivi, CISO at Bezpieczne naruszeniedostawca narzędzi do symulacji naruszeń i ataków, wyjaśnił, jak prawdopodobnie doszło do naruszenia. „BeyondTrust, jak na ironię, zapewnia pracownikom wsparcia IT bezpieczną metodę zdalnego wsparcia użytkowników końcowych” – powiedział. „Ta metoda polega na ustanowieniu zaufanego połączenia między osobą obsługującą a użytkownikiem końcowym.
„To zaufane połączenie przełamuje tradycyjne zabezpieczenia obwodowe i zapewnia osobie obsługującej pełny dostęp i kontrolę nad stacją roboczą użytkownika końcowego. Po wejściu do środka osoba obsługująca może odesłać dokumenty bezpiecznym kanałem lub udawać użytkownika końcowego i bezpośrednio wysłać te same dokumenty.
„Środki kontroli bezpieczeństwa chroniące sieć skarbu USA nie mają możliwości wykrycia, że dzieje się coś złego, ponieważ zaufane połączenie jest, cóż, zaufane.
„Czy było coś, co Departament Skarbu USA mógł zrobić, aby temu zapobiec? Smutna odpowiedź wydaje się brzmieć: tak. Ponownie, odnosząc się do informacji technicznych dostarczonych przez BeyondTrust, administratorzy systemu w Departamencie Skarbu USA lub dostawca, który prawdopodobnie będzie świadczył usługi wsparcia, nie skonfigurowali zaufanych lokalizacji, z których mogliby się łączyć agenci wsparcia. Nazywamy to tzw Biała lista adresów IP [allowlisting].
„Ta awaria stanowi krytyczne ryzyko w przypadku każdej takiej usługi [and] ten sam problem doprowadził do znaczących naruszeń w latach 2023 i 2024. Z tego powodu nalegamy, aby wszyscy dostawcy usług, zwłaszcza zaufani dostawcy usług ICT, postępowali zgodnie z CISA Secure-by-Default przewodnictwo.”