Het Office of Foreign Assets Control (OFAC) van het Amerikaanse ministerie van Financiën heeft sancties opgelegd aan een Chinees cyberbeveiligingsbedrijf en een in Shanghai gevestigde cyberacteur vanwege hun vermeende banden met de Salt Typhoon-groep en het recente compromis van het federale agentschap.
“Aan de Volksrepubliek China gelinkte (VRC) kwaadaardige cyberactoren blijven zich richten op Amerikaanse overheidssystemen, waaronder de recente aanvallen op de informatietechnologie (IT)-systemen van het ministerie van Financiën, evenals op gevoelige Amerikaanse kritieke infrastructuur”, aldus het ministerie van Financiën in een persbericht.
De sancties zijn gericht tegen Yin Kecheng, die naar schatting al meer dan tien jaar een cyberacteur is en verbonden is aan het Chinese Ministerie van Staatsveiligheid (MSS). Volgens het ministerie van Financiën werd Kecheng in verband gebracht met de inbreuk op zijn eigen netwerk die eerder deze maand aan het licht kwam.
Bij het incident was sprake van een hack van de systemen van BeyondTrust, waardoor de bedreigingsactoren enkele van de Remote Support SaaS-instanties van het bedrijf konden infiltreren door gebruik te maken van een gecompromitteerde Remote Support SaaS API-sleutel. De activiteit wordt toegeschreven aan een natiestaatgroep genaamd Silk Typhoon (voorheen Hafnium), die begin 2021 in verband werd gebracht met de toenmalige zero-day-exploitatie van meerdere beveiligingsfouten (ook bekend als ProxyLogon) in Microsoft Exchange Server.
Volgens een recent rapport van Bloomberg zouden de aanvallers hebben ingebroken in niet minder dan 400 computers van het ministerie van Financiën en meer dan 3.000 bestanden hebben gestolen, waaronder beleids- en reisdocumenten, organigrammen, materiaal over sancties en buitenlandse investeringen, en ‘wetsdocumenten’. Handhavingsgevoelige gegevens.
Ze kregen ook ongeoorloofde toegang tot computers die werden gebruikt door minister Janet Yellen, adjunct-secretaris Adewale Adeyemo en waarnemend staatssecretaris Bradley T. Smith, evenals tot materiaal over onderzoeken uitgevoerd door de Commissie voor Buitenlandse Investeringen in de VS, aldus het rapport.
Er wordt aangenomen dat Silk Typhoon overlapt met een cluster dat wordt gevolgd door Mandiant, eigendom van Google, onder de naam UNC5221, een Chinese spionageacteur die bekend staat om zijn uitgebreide bewapening van Ivanti zero-day-kwetsbaarheden. The Hacker News heeft Mandiant benaderd voor verder commentaar, en we zullen het verhaal bijwerken als we iets horen.
De sancties zijn ook gericht tegen Sichuan Juxinhe Network Technology Co., LTD., een in Sichuan gevestigd cyberbeveiligingsbedrijf dat volgens het ministerie van Financiën rechtstreeks betrokken was bij een reeks cyberaanvallen gericht op grote Amerikaanse telecommunicatie- en internetproviders in het land.
De activiteit is in verband gebracht met een andere Chinese hackgroep genaamd Salt Typhoon (ook bekend als Earth Estries, FamousSparrow, GhostEmperor en UNC2286). De dreigingsactor is naar schatting al sinds 2019 actief.
“De MSS heeft sterke banden onderhouden met meerdere bedrijven die computernetwerken exploiteren, waaronder Sichuan Juxinhe”, aldus het ministerie van Financiën.
Daarnaast looft het Rewards for Justice-programma van het ministerie van Buitenlandse Zaken een beloning uit van maximaal 10 miljoen dollar voor informatie die zou kunnen leiden tot de identificatie of locatie van personen die handelen op aanwijzing of onder controle van een door een buitenlandse staat gesteunde tegenstander. zich bezighouden met kwaadaardige cyberactiviteiten tegen Amerikaanse kritieke infrastructuur, in strijd met de Computer Fraud and Abuse Act.
“Het ministerie van Financiën zal zijn autoriteiten blijven gebruiken om kwaadwillende cyberactoren die zich richten op het Amerikaanse volk, onze bedrijven en de Amerikaanse overheid, ter verantwoording te roepen, inclusief degenen die zich specifiek op het ministerie van Financiën hebben gericht”, aldus Adeyemo in een verklaring.
De aanvallen op Amerikaanse telecomproviders hebben de Federal Communications Commission (FCC) er sindsdien toe aangezet nieuwe regels uit te vaardigen die bedrijven in de sector verplichten hun netwerken te beveiligen tegen onrechtmatige toegang of onderschepping van communicatie. Aftredend FCC-voorzitter Jessica Rosenworcel beschreef de hacks als “een van de grootste inlichtingencompromissen ooit gezien.”
“Deze actie gaat gepaard met een voorstel om aanbieders van communicatiediensten te verplichten een jaarlijkse certificering in te dienen bij de FCC, waaruit blijkt dat zij een plan voor cyberveiligheidsrisicobeheer hebben opgesteld, bijgewerkt en geïmplementeerd, dat de communicatie tegen toekomstige cyberaanvallen zou versterken”, aldus de FCC. .
Eerder deze week zei Jen Easterly, directeur van de Cybersecurity and Infrastructure Security Agency (CISA), dat “China’s geavanceerde en goed uitgeruste cyberprogramma de meest ernstige en significante cyberdreiging vertegenwoordigt voor ons land, en in het bijzonder voor de Amerikaanse kritieke infrastructuur.”
Easterly onthulde ook dat Salt Typhoon voor het eerst werd gedetecteerd op federale netwerken, lang voordat de cyberspionagegroep zich in de netwerken van AT&T, Lumen Technologies, T-Mobile, Verizon en andere providers nestelde.
Deze benamingen zijn slechts de laatste in een lange lijst van stappen die het ministerie van Financiën heeft ondernomen in een poging kwaadwillige cyberactiviteiten van Chinese dreigingsactoren te bestrijden. Eerder zijn door het agentschap sancties opgelegd aan drie andere bedrijven: Integrity Technology Group (Flax Typhoon), Sichuan Silence Information Technology (Pacific Rim) en Wuhan Xiaoruizhi Science and Technology Company (APT31).