Американската агенция за киберсигурност CISA уведомява участниците в програмата „Стандарти за борба с тероризма в химическите съоръжения“ (CFATS), че е възможно да е била компрометирана лична информация и потребителски акаунти, след като инструментът за оценка на химическата сигурност (CSAT) е бил хакнат през януари 2024 г.

Нападателите са използвали нулевия ден на приложението Ivanti Connect Secure, за да получат достъп до инструмента на CISA, само няколко дни след като агенцията е публикувала предупреждение за същата уязвимост.

Твърди се, че инцидентът, който стана известен в началото на март, потенциално засяга над 100 000 лица, като се счита за „голям инцидент“ съгласно FISMA. Сега CISA заявява, че не е открила доказателства, че хакерите са ексфилтрирали някакви данни от нейните системи, но е възможно те да са получили достъп до някаква информация.

Въпреки това нападателите вероятно са получили достъп до „Top-Screen проучвания, оценки на уязвимостта на сигурността, планове за сигурност на обектите, подадени документи по програмата за гарантиране на персонала и потребителски акаунти в CSAT“, казва агенцията.

„Уведомяваме всички засегнати участници в програмата за стандарти за борба с тероризма в химическите обекти (CFATS) от голяма доза предпазливост, че тази информация може да е била неправомерно достъпна“, се казва в уведомлението на CISA до засегнатите организации.

Според агенцията засегнатите лица включват тези, чиито лични данни (PII) са били подадени за проверка в рамките на Програмата за гарантиране на персонала в периода между декември 2015 г. и юли 2023 г.

Потенциално компрометираната информация, казва CISA, включва име, дата на раждане, гражданство или пол, псевдоним, място на раждане, номер на паспорта и други данни, подадени от работодателите.

Възможно е имената, титлите, служебните адреси и служебните телефонни номера да са били достъпни от компрометирани потребителски акаунти в CSAT, допълва агенцията.

CISA заявява, че не събира адрес или информация за контакт на проверените лица и изисква от химическите предприятия да уведомят засегнатите лица за потенциалния пробив в данните.

„Ако съоръженията откажат да уведомят тези лица, CISA изисква от съоръженията да предоставят на CISA информация за контакт с лицата, подадена по програмата за гарантиране на персонала на CFATS на доброволна основа, за да може CISA да уведоми засегнатите лица“, казва CISA.

CISA твърди, че хакерите са имали достъп до устройството CSAT между 23 и 26 януари и са инсталирали webshell на устройството Ivanti, до което са имали достъп няколко пъти през този период. Не е наблюдавано странично движение.

„Нашето разследване приключи и не установи неприятелски достъп извън устройството Ivanti, нито ексфилтрация на данни от средата на CSAT. Цялата информация в CSAT беше криптирана с помощта на AES 256 криптиране, а информацията от всяко приложение имаше допълнителни контроли за сигурност, ограничаващи вероятността за страничен достъп“, казва CISA.

Лицата, които са имали акаунти в CSAT, се приканват да възстановят паролите си, както и паролите на всички други акаунти, които може да са използвали същите пароли, за да се предотвратят евентуални атаки с пръскане на пароли в бъдеще.

CISA посочва, че друга информация, до която потенциално е имало достъп по време на хакерската атака, включва имена и адреси на химически обекти, информация за химикали, представляващи интерес (COI), характеристики на кибернетичната и физическата сигурност на високорискови обекти, местоположение на характеристиките на сигурността, използване на COI, доклади за отстраняване на уязвимости, мерки за сигурност за COI и дали тези мерки отговарят или надвишават стандартите за ефективност, основани на риска (RBPS) на CFATS.