Според новинарските съобщения китайските кибершпиони са се насочили към няколко служби, включително такива, които се занимават с чуждестранни инвестиции и санкции, при неотдавнашната кибератака, насочена към Министерството на финансите на САЩ.
Малко техническа информация беше оповестена относно хакерската атака срещу Министерството на финансите, докато властите разследват пълния обхват на пробива.
В края на декември 2024 г. беше разкрито, че хакери, за които се смята, че работят от името на китайското правителство, са получили достъп до системите на Министерството на финансите на САЩ в рамките на това, което беше описано като голям инцидент, свързан с киберсигурността.
Не е ясно колко системи и какви видове документи са били компрометирани, но правителството на САЩ заяви, че нападателите са успели да получат достъп до некласифицирана информация, след като са получили достъп до работните станции на Министерството на финансите.
Първоначалният достъп очевидно е бил получен от хакерите, които са използвали компрометиран API ключ за услуга за дистанционно управление от BeyondTrust, която потвърди, че е бил компрометиран ключ за продукт за дистанционна поддръжка и че ограничен брой клиенти са били засегнати.
BeyondTrust също така разкри, че по време на разследването на атаката е била открита критична уязвимост от нулев ден, проследена като CVE-2024-12356. Въпреки че фирмата за сигурност на идентичността и достъпа не го е заявила изрично, изглежда, че недостатъкът е бил използван при атаката.
CNN научи от трима неназовани американски служители, които са запознати с въпроса, че в случая с хакерската атака срещу Министерството на финансите нападателите са проникнали в системи, свързани с Комитета за чуждестранни инвестиции в САЩ (CFIUS), който преглежда чуждестранните инвестиции за рискове за националната сигурност.
Отделно от това в. „Вашингтон пост“ съобщи в платена статия, че китайските хакери са се насочили и към Службата за контрол на чуждестранните активи (OFAC) на Министерството на финансите, която отговаря за санкциите, както и към Службата на министъра на финансите и Службата за финансови изследвания.
Двама служители потвърдиха пред CNN, че китайските извършители са се насочили към службата на Министерството на финансите, която отговаря за санкциите. Според CNN длъжностните лица са загрижени, че Китай може да успее да сглоби компрометираната некласифицирана информация, за да получи полезна разузнавателна информация.
Разкритията идват само няколко дни, след като Министерството на финансите обяви санкции срещу базирано в Пекин дружество за киберсигурност за предполагаемата му роля в хакерски инциденти, насочени към критична инфраструктура на САЩ – по-специално атаки, свързани със заплаха на име Flax Typhoon. Китай отхвърли обвиненията и протестира срещу санкциите.
Американската агенция за киберсигурност CISA заяви миналата седмица, че няма доказателства, че федерални агенции, различни от Министерството на финансите, са били засегнати от инцидента с BeyondTrust.
Миналата седмица агенция Блумбърг съобщи, че атаката срещу Министерството на финансите е била свързана с китайска група, проследена като Silk Typhoon, която е известна и като Hafnium.
Смята се, че Китай стои зад неотдавнашна кампания, насочена срещу най-малко девет американски телекомуникационни фирми, в опит да получи достъп до комуникациите на американците, особено на правителствени служители и видни политически фигури.
