De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) zei maandag dat er geen aanwijzingen zijn dat de cyberaanval gericht op het ministerie van Financiën andere federale agentschappen heeft getroffen.
Het agentschap zei dat het nauw samenwerkt met het ministerie van Financiën en BeyondTrust om een beter inzicht in de inbreuk te krijgen en de gevolgen ervan te verzachten.
“De veiligheid van federale systemen en de gegevens die ze beschermen is van cruciaal belang voor onze nationale veiligheid”, aldus CISA. “We werken er agressief aan om verdere gevolgen te voorkomen en zullen indien nodig updates verstrekken.”
De laatste verklaring komt een week nadat het ministerie van Financiën zei dat het het slachtoffer was van een ‘groot cyberveiligheidsincident’ waardoor door de Chinese staat gesponsorde dreigingsactoren op afstand toegang konden krijgen tot bepaalde computers en niet-geclassificeerde documenten.
De cyberaanval, die begin december 2024 aan het licht kwam, betrof een inbreuk op de systemen van BeyondTrust, waardoor de tegenstander enkele van de Remote Support SaaS-instanties van het bedrijf kon infiltreren door gebruik te maken van een gecompromitteerde Remote Support SaaS API-sleutel.
In een bijgewerkte verklaring van 6 januari 2025 zei BeyondTrust: “Er zijn geen nieuwe klanten geïdentificeerd naast de klanten waarmee we eerder hebben gecommuniceerd.” China heeft de beschuldigingen ontkend dat het inbreuk heeft gemaakt op het Amerikaanse ministerie van Financiën.
Uit gegevens gedeeld door het aanvalsbeheerbedrijf Censys blijkt dat er op 6 januari maar liefst 13.548 blootgestelde BeyondTrust Remote Support en Privileged Remote Access-instanties online zijn waargenomen.
Vorige week kondigde het Office of Foreign Assets Control (OFAC) van het ministerie van Financiën sancties aan tegen een Chinees cyberbeveiligingsbedrijf, Integrity Technology Group, Incorporated, en beschuldigde het van het lenen van infrastructuurondersteuning aan een andere hackgroep genaamd Flax Typhoon als onderdeel van een langlopende campagne tegen Amerikaanse kritieke infrastructuur.
Gevraagd naar de sancties zei de woordvoerder van het Chinese ministerie van Buitenlandse Zaken, Guo Jiakun, dat het zijn standpunt meer dan eens duidelijk heeft gemaakt en dat “China zich altijd krachtig heeft verzet tegen hacking en het bestrijdt in overeenstemming met de wet.”
“We dringen er bij de VS op aan om te stoppen met het gebruik van de kwestie van cyberveiligheid om China te belasteren en te belasteren”, zei Jiakun. “De VS trompetteren al geruime tijd het zogenaamde ‘Chinese hacken’ uit en gebruiken het zelfs om illegale en unilaterale sancties aan China op te leggen. China wijst dit resoluut af en zal doen wat nodig is om onze wettige rechten en belangen te beschermen.”
Integrity Technology Group verzette zich in een verklaring aan de Shanghai Stock Exchange tegen de sancties tegen het bedrijf en voegde eraan toe dat de beschuldigingen “geen feitelijke basis” hadden.
De aanval op het ministerie van Financiën is de laatste in een golf van inbraken gepleegd door Chinese dreigingsactoren zoals Volt Typhoon en Salt Typhoon, gericht op respectievelijk de Amerikaanse kritieke infrastructuur en telecommunicatienetwerken.
De Wall Street Journal onthulde dit weekend dat onder de negen telecombedrijven die door Salt Typhoon zijn getroffen, Charter Communications, Consolidated Communications en Windstream zijn. Enkele van de andere eerder geïdentificeerde entiteiten waren AT&T, T-Mobile, Verizon en Lumen Technologies.
In een nieuw rapport dat vandaag is gepubliceerd, zegt Bloomberg dat de door de Chinese staat gesponsorde dreigingsgroep, genaamd APT41, de uitvoerende macht van de Filippijnse regering is binnengedrongen en gevoelige gegevens met betrekking tot geschillen over de Zuid-Chinese Zee heeft overgeheveld als onderdeel van een jarenlange campagne van begin 2023 tot juni 2024. .
China voert cyberaanvallen op Taiwan op
De ontwikkelingen volgen ook op een rapport van het Taiwanese National Security Bureau (NSB), waarin wordt gewaarschuwd voor de toenemende verfijning van cyberaanvallen die door China tegen het land worden georkestreerd. In 2024 zijn in totaal 906 gevallen van cyberincidenten geregistreerd tegen entiteiten uit de overheid en de particuliere sector, tegen 752 in 2023.
De modus operandi omvat doorgaans het exploiteren van kwetsbaarheden in Netcom-apparaten en het gebruik van Living-off-the-land (LotL)-technieken om voet aan de grond te krijgen, detectie te omzeilen en malware in te zetten voor vervolgaanvallen en gegevensdiefstal. Alternatieve aanvalsketens omvatten het verzenden van spearphishing-e-mails naar Taiwanese ambtenaren.
Andere algemeen waargenomen Chinese aanvallen op Taiwanese doelen worden hieronder vermeld:
- Gedistribueerde Denial-of-Service (DDoS)-aanvallen op de transport- en financiële sector die samenvielen met militaire oefeningen van het People’s Liberation Army (PLA)
- Ransomware-aanvallen op de productiesector
- Gericht op hightech startups om gepatenteerde technologieën te stelen
- Diefstal van persoonlijke gegevens van Taiwanese staatsburgers om deze te verkopen op ondergrondse cybercriminaliteitsforums.
- Kritiek op de cyberbeveiligingscapaciteiten van Taiwan op sociale-mediaplatforms om het vertrouwen in de overheid te ondermijnen
“Het aanvallen op het gebied van de communicatie, vooral de telecommunicatie-industrie, is met 650% gegroeid, en het aanvallen op het gebied van de transport- en defensietoeleveringsketen is met respectievelijk 70% en 57% gegroeid”, aldus de NSB.
“Door het toepassen van diverse hacktechnieken heeft China verkenningen uitgevoerd, cyberhinderlagen opgezet en gegevens gestolen via hackoperaties gericht op de Taiwanese overheid, kritieke infrastructuur en belangrijke particuliere ondernemingen.”
De NSB heeft China ook opgeroepen voor het uitvoeren van beïnvloedingsoperaties tegen Taiwan, het voeren van desinformatiecampagnes die erop gericht zijn het vertrouwen van het publiek in de regering te ondermijnen en de sociale verdeeldheid te vergroten via sociale-mediaplatforms zoals Facebook en X.
Opvallend bij deze tactieken is het uitgebreide gebruik van niet-authentieke accounts om commentaarsecties te overspoelen op sociale-mediaplatforms die door Taiwanese mensen worden gebruikt om gemanipuleerde video’s en meme-afbeeldingen te verspreiden. Er is ook vastgesteld dat kwaadaardige cyberactiviteiten de sociale media-accounts van Taiwanese gebruikers kapen om desinformatie te verspreiden.
“China heeft deepfake-technologie gebruikt om videoclips van toespraken van Taiwanese politieke figuren te fabriceren, in een poging de perceptie en het begrip van het Taiwanese publiek te misleiden”, aldus de NSB.
“China richt met name actief convergentiemediamerken of proxy-accounts op op platforms als Weibo, TikTok en Instagram, en werkt aan de verspreiding van officiële media-inhoud en op Taiwan gerichte propaganda.”