中国の国家に支援された脅威者が米財務省をハッキングし、連邦政府機関が使用するリモート・サポート・プラットフォームに侵入した。
ニューヨーク・タイムズ紙が国会議員に送付した書簡の中で、財務省は12月8日にベンダーのBeyondTrust社から侵害の最初の通知を受けたと議員に警告している。
ビヨンドトラストは特権アクセス管理会社で、コンピュータにリモートアクセスできるSaaSプラットフォームも提供している。
「利用可能な指標に基づき、この事件は中国国家に支援されたAPT(Advanced Persistent Threat:高度持続的脅威)行為者に起因している。
「財務省の方針に従い、APTに起因する侵入は重大なサイバーセキュリティ事件とみなされる。
今月初め、BeyondTrustが侵入され、脅威者が同社のリモートサポートSaaSインスタンスの一部にアクセスしたことが 報じられた。
この侵害の一環として、脅威者は盗まれたリモートサポートSaaSのAPIキーを利用して、ローカル・アプリケーション・アカウントのパスワードをリセットし、システムへのさらなる特権アクセスを獲得した。
この攻撃を調査した後、BeyondTrustは、脅威行為者がRemote Support SaaSインスタンスに侵入し、乗っ取ることを可能にする2つのゼロデイ脆弱性、CVE-2024-12356とCVE-2024-12686を発見しました。
財務省はこれらの侵害されたインスタンスの1つの顧客であったため、脅威者はこのプラットフォームを使用して省庁のコンピュータにアクセスし、リモートで文書を盗むことができました。
BeyondTrustは侵害を検知した後、すべての侵害されたインスタンスをシャットダウンし、盗まれたAPIキーを失効させた。
この書簡によると、FBIとCISAは財務省の情報漏えいに関する調査を支援し、侵害されたインスタンスがシャットダウンされた現在も、中国の脅威行為者が同省のコンピュータにアクセスしているという証拠はないという。
ソルト・タイフーン」と名付けられた中国の国家的脅威行為者は、ベライゾン、AT&T、ルメント、T-モバイルを含む米国の通信会社9社に対する最近のハッキングにも関連している。この脅威者は、他の数十カ国の通信会社にも侵入していると見られている。
脅威者はこのアクセスを利用して、標的とした個人のテキストメッセージ、ボイスメール、電話を狙い撃ちし、法執行機関が捜査中の人物の盗聴情報にアクセスした。
この相次ぐ通信侵害以来、CISAは政府高官に対し、通信傍受のリスクを減らすため、Signalのようなエンドツーエンドの暗号化メッセージングアプリに切り替えるよう促している。
米国政府は、今回の通信傍受事件を受けて、チャイナテレコムの米国での最後の活動を禁止する予定だと報じられている。
チャイナテレコムは、国務省にこのハッキングに関する更なる質問を送ったが、まだ回答は得られていない。
Comments