シルク・タイフーン 中国の国家に支援されたハッカーが、国家安全保障上のリスクについて外国投資を審査する財務省のオフィスに侵入したと報じられた。
CNNは金曜日に、この件に詳しい米政府関係者の話として、攻撃者が対米外国投資委員会(CFIUS)のシステムにアクセスしたと報じた。
CFIUSは、外国投資や不動産取引を審査し、米国の国家安全保障に与える影響を判断する権限を持つ政府機関であり、省庁間の委員会である。
同じ攻撃者は、貿易と経済制裁プログラムを管理する財務省のもう一つの部局である外国資産管理局(OFAC)にも侵入し、盗まれたBeyondTrust Remote Support SaaS APIキーを使用して同局のネットワークに侵入した。
それ以来、米当局者は、脅威者が特に貿易・経済制裁プログラムを管理・執行するOFACを標的とし、米国が制裁を検討する可能性のある中国の個人や組織に関する情報を収集することを目的としていた可能性が高いことを明らかにした。
月曜日にCISAは、財務省の情報漏洩は他の連邦政府機関には影響を与えなかったと発表し、その後水曜日にブルームバーグが、この攻撃はシルク・タイフーンというハッキング・グループによるものだと報じた。
この報道では、情報窃盗の仮説が確認され、事件に詳しい人物によると、同グループは盗んだBeyondTrustのデジタルキーを使って、「制裁措置の可能性やその他の文書に関連する未分類の情報にアクセスした」と見られているという。
シルク・タイフーン(ハフニウム)も財務省の金融調査局をハッキングした。しかし、この事件の影響はまだ評価中であり、侵入されたBeyondTrustのインスタンスがシャットダウンされた後も、中国のハッカーが財務省のシステムへのアクセスを維持していた証拠はまだ見つかっていない。
この中国の国家的ハッキング・グループは、米国、オーストラリア、日本、ベトナムにおいて、防衛請負業者、政策シンクタンク、非政府組織(NGO)から医療、法律事務所、高等教育機関に至るまで、幅広い組織を攻撃していることで知られている。
この国家に支援されたハッカー集団のサイバースパイ活動は、主に偵察とデータ窃盗に重点を置いており、ゼロデイソフトウェアの脆弱性とチャイナ・チョッパー・ウェブシェルのようなハッキングツールを使用している。
シルク・タイフーンは2021年初頭、マイクロソフト・エクスチェンジ・サーバーに影響を与えるProxyLogonのゼロデイ欠陥を悪用し、セキュリティパッチがリリースされる前に推定6万8500台のサーバーを危険にさらし、広く知られるようになった。
Comments