Het Amerikaanse ministerie van Financiën zei dat het te maken had met een ‘groot cyberveiligheidsincident’ waardoor vermoedelijke Chinese dreigingsactoren op afstand toegang konden krijgen tot bepaalde computers en niet-geclassificeerde documenten.
“Op 8 december 2024 werd Treasury door een externe softwareserviceprovider, BeyondTrust, op de hoogte gebracht dat een bedreigingsacteur toegang had gekregen tot een sleutel die door de leverancier werd gebruikt om een cloudgebaseerde dienst te beveiligen die werd gebruikt om op afstand technische ondersteuning te bieden voor Treasury Eindgebruikers van Departementale Kantoren (DO), zei het departement in een brief aan de Senaatscommissie voor Banken, Huisvesting en Stedelijke Zaken.
“Met toegang tot de gestolen sleutel kon de bedreigingsacteur de beveiliging van de dienst opheffen, op afstand toegang krijgen tot bepaalde Treasury DO-gebruikerswerkstations en toegang krijgen tot bepaalde niet-geclassificeerde documenten die door die gebruikers werden beheerd.”
Het federale agentschap zei dat het heeft samengewerkt met de Cybersecurity and Infrastructure Security Agency (CISA) en het Federal Bureau of Investigation (FBI), en dat het beschikbare bewijs erop wijst dat dit het werk is van een niet nader genoemde, door de staat gesponsorde Advanced Persistent Threat (APT). acteur uit China.
Het ministerie van Financiën zei verder dat het de BeyondTrust-service offline heeft gehaald, en voegde eraan toe dat er geen bewijs is dat de dreigingsactoren toegang hebben tot de omgeving.
Eerder deze maand onthulde BeyondTrust dat het het slachtoffer was van een digitale inbraak waardoor kwaadwillenden een aantal van zijn Remote Support SaaS-instanties konden binnendringen.
Het bedrijf zei dat uit onderzoek naar het incident is gebleken dat de aanvallers toegang hebben gekregen tot een Remote Support SaaS API-sleutel waarmee ze wachtwoorden voor lokale applicatie-accounts opnieuw konden instellen. BeyondTrust moet nog onthullen hoe de sleutel is verkregen.
“BeyondTrust heeft de API-sleutel onmiddellijk ingetrokken, bekende getroffen klanten op de hoogte gebracht en die instanties dezelfde dag opgeschort, terwijl ze alternatieve Remote Support SaaS-instanties voor die klanten aanbood”, aldus het bedrijf.
Het onderzoek heeft ook twee beveiligingsfouten blootgelegd in Privileged Remote Access (PRA) en Remote Support (RS)-producten (CVE-2024-12356, CVSS-score: 9,8 en CVE-2024-12686, CVSS-score: 6,6), waarvan de eerste is toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus van CISA, met bewijs van actieve uitbuiting in het wild.
De onthulling komt op het moment dat verschillende Amerikaanse telecommunicatieaanbieders in het vizier zijn terechtgekomen van een andere door de Chinese staat gesponsorde dreigingsacteur genaamd Salt Typhoon.