Siber Muhbir

Bakanlık, Senato Bankacılık Komitesi'ni bilgilendiren bir mektupta, "8 Aralık 2024'te Hazine, üçüncü taraf bir yazılım hizmeti sağlayıcısı olan BeyondTrust tarafından, bir tehdit aktörünün, Hazine Bakanlığı Ofisleri (DO) son kullanıcılarına uzaktan teknik destek sağlamak için kullanılan bulut tabanlı bir hizmeti güvence altına almak için satıcı tarafından kullanılan bir anahtara erişim elde ettiği konusunda bilgilendirildi" dedi. Konut ve Kentsel İşler.

"Çalınan anahtara erişim sayesinde, tehdit aktörü hizmetin güvenliğini geçersiz kılabildi, belirli Hazine DO kullanıcı iş istasyonlarına uzaktan erişebildi ve bu kullanıcılar tarafından tutulan belirli sınıflandırılmamış belgelere erişebildi."

Federal ajans, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI) ile birlikte çalıştığını ve mevcut kanıtların bunun Çin'den isimsiz bir devlet destekli Gelişmiş Kalıcı Tehdit (APT) aktörünün işi olduğuna işaret ettiğini söyledi.

Hazine Bakanlığı ayrıca, BeyondTrust hizmetini çevrimdışına aldığını ve tehdit aktörlerinin çevreye erişimi olduğuna dair bir kanıt olmadığını da sözlerine ekledi. Çin'in saldırıdan sorumlu olduğuna dair herhangi bir uzlaşma belirtisi paylaşmadı ve ihlalin ne zaman ve ne kadar süreyle gerçekleştiğini belirtmedi.

Çin dışişleri bakanlığı sözcüsü Mao Ning, Hazine Bakanlığı'nı hedef aldığı iddialarını reddetti. "Bu tür asılsız ve mesnetsiz iddialar konusunda pozisyonumuzu birden fazla kez açıkça ortaya koyduk. Çin, her türlü bilgisayar korsanlığına karşı çıkıyor ve özellikle, siyasi gündem tarafından motive edilen Çin ile ilgili dezenformasyonun yayılmasına karşı çıkıyoruz" dedi.

Bu ayın başlarında BeyondTrust, kötü aktörlerin bazı Remote Support SaaS örneklerini ihlal etmesine izin veren bir dijital saldırının kurbanı olduğunu açıkladı.

Şirket, olayla ilgili soruşturmasının, saldırganların yerel uygulama hesaplarının şifrelerini sıfırlamalarına izin veren bir Remote Support SaaS API anahtarına erişim elde ettiğini tespit ettiğini söyledi. BeyondTrust, anahtarın nasıl elde edildiğini henüz açıklamadı.

"BeyondTrust, API anahtarını derhal iptal etti, etkilenen bilinen müşterileri bilgilendirdi ve bu müşteriler için alternatif Uzaktan Destek SaaS örnekleri sağlarken bu örnekleri aynı gün askıya aldı" dedi.

Soruşturma ayrıca Ayrıcalıklı Uzaktan Erişim (PRA) ve Uzaktan Destek (RS) ürünlerinde iki güvenlik açığını ortaya çıkardı (CVE-2024-12356, CVSS puanı: 9.8 ve CVE-2024-12686, CVSS puanı: 6.6), bunlardan ilki, vahşi doğada aktif istismar kanıtlarına atıfta bulunarak CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklendi.

Açıklama, birkaç ABD telekomünikasyon sağlayıcısının kendilerini Salt Typhoon adlı başka bir Çin devlet destekli tehdit aktörünün hedefinde bulmasıyla geldi.

Son Durum

Washington Post'un 1 Ocak 2024'te yayınlanan yeni bir raporu, ismi açıklanmayan ABD'li yetkililere atıfta bulunarak, Çinli tehdit aktörlerinin Hazine Bakanlığı'nı hedef alan Aralık ayındaki siber saldırısının, Yabancı Varlıklar Kontrol Ofisi'nin (OFAC) yanı sıra Hazine Sekreterliği Ofisi'ni de ihlal ettiğini ortaya koydu.

Yetkililer, "Yabancı Varlıklar Kontrol Ofisi'nin (OFAC) yanı sıra Hazine Sekreterliği Ofisi'nin de hedef alınması – daha önce bildirilmeyen gelişmeler – Pekin'in küresel güç ve nüfuz rekabetindeki en önemli rakibi hakkında istihbarat elde etme kararlılığını yansıtıyor" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.