US Treasury

シルク・タイフーンとして追跡されている中国国家を後ろ盾とするハッカーが、12月初旬に起きた米外国資産管理局(OFAC)のハッキングに関係していることがわかった。

先月、財務省が重大なサイバーセキュリティ事件を公表したと報じた。攻撃者は盗んだリモートサポートSaaSのAPIキーを使い、財務省が使用しているBeyondTrustインスタンスを侵害し、同省のネットワークに侵入した。

脅威者は財務省の財務調査局もハッキングしたが、この侵害の影響はまだ評価中である。しかし、侵害されたBeyondTrustインスタンスがシャットダウンされた後も、中国のハッカーが財務省のシステムへのアクセスを維持したという証拠はない。CISAはまた、財務省の情報漏洩は他の連邦政府機関には影響を与えなかったと月曜日に述べた。

財務省は先週議会に送った書簡の中で、リモート・サポート・プロバイダーのビヨンドトラストが12月8日に初めてセキュリティ侵害を通知したと述べた。それ以来、米国当局は、ハッカーが特に貿易・経済制裁プログラムを管理・執行するOFACを標的としており、米国が制裁を検討する可能性のある中国の個人や組織に関する情報を収集することを目的としていた可能性が高いことを明らかにした。

水曜日、ブルームバーグの報道はこの仮説を裏付け、この攻撃はハッキング・グループ「シルク・タイフーン」によるものだとした。この問題に詳しい2人の人物によると、このグループは「サードパーティーのサービスプロバイダーであるBeyondTrust Inc.からデジタルキーを盗み出し、それを使って潜在的な制裁措置やその他の文書に関連する未分類の情報にアクセスしたと考えられている」という。

シルク・タイフーン(別名ハフニウム)は、米国、オーストラリア、日本、ベトナムの防衛関連企業、政策シンクタンク、非政府組織(NGO)のほか、医療、法律事務所、高等教育機関など、幅広い標的を攻撃していることで知られる中国の国民国家ハッキング・グループである。

このAdvanced Persistent Threat(APT)グループのサイバースパイ活動は、ゼロデイ脆弱性とChina Chopperウェブシェルのようなツールを使用し、主にデータの窃盗と偵察に重点を置いています。

Hafniumは2021年にMicrosoft Exchange Serverのゼロデイ欠陥ProxyLogonとして総称されている)を悪用し、セキュリティパッチがリリースされるまでに推定68,500台のExchangeサーバーを危険にさらし、より広く知られるようになった。

同じBloombergの報道によると、バイデン政権はまた、米国政府のサイバーセキュリティ防御を強化するための大統領令を策定中だという。

この命令では、「強力なID認証と暗号化」の導入と、クラウド・サービス・プロバイダー向けの新しいガイドラインの策定が義務付けられる。これらのガイドラインでは、多要素認証、複雑なパスワードの使用、ハードウェア・セキュリティ・キーを使用した暗号キーの保存が義務付けられる。