Cyber incident na američkom Ministarstvu trezora – okrivljen na kineskom državnom glumcu – postavlja svježa upozorenja o riziku lanca opskrbe nakon što je utvrđeno da potiče ranjivosti u proizvodu udaljene tehničke podrške
Od
- Alex Scroxton,Sigurnosni urednik
Objavljeno: 03. januara 2025. 16:27
Čini se da je glavni državni cyber incident koji je usmjeren na odjel trezora u Sjedinjenim Državama u sedmicama prije Božića 2024. 2024. i ranjiva priroda lanaca za opskrbu tehnologije za IT firme i njihove kupce slično.
Cyber napad navodno je bio rad neotkrivenog naprednog pogodnog prijetnjom porculanom porculanom i, prema Washington PostCiljala je između ostalog, Ured za kontrolu stranih imovine (OFAC), Odjel za trezor koji upravlja i sprovodi strane sankcije protiv pojedinaca, organizacija i zemalja.
Zbog svoje uključenosti u sankcije i izvršne akcije protiv zlonamjernih cyber glumaca – igrao je ključnu ulogu u multinacionalnim operacijama protiv financijski motiviranih bandi za otkupnača – OFAC predstavlja vrlo očigledan cilj za aktere za prijetnju.
U pismu senatorima Sherrod Brown i Tim Scott, koji sjede u Odboru za bankarstvo, stambeno i urbane poslove – čija je kopija pregledala Kompjuter nedeljno – Pomoćnik trezora za menadžmentu, Aditi Hardikar, potvrdio je Odjel, obavijestio je davaoca softverske usluge treće strane da je bio ugrožen 8. decembra 2024. godine.
Organizacija u pitanju, izvanreda, rekla je da je APT dobila pristup ključu da koristi da osigura uslugu daljinskog tehnološkog podrške na temelju oblaka.
“Uz pristup ukradenom ključu, akumulaciju prijetnje je mogla nadjačati sigurnost usluge, daljinski pristup određenoj blagajni rade korisničke radne stanice, te pristup određenim neklasificiranim dokumentima koje održavaju ti korisnici”, napisao je Hardikar.
“Trezor radi sa CyberSecurity and Infrastructurcturity Agencijom (CiSA), Savezni Biro za istragu (FBI), obaveštajne zajednice i forenzičkim istražiteljima treće strane da u potpunosti karakterišu incident i određuju njegov ukupni uticaj.
“Na osnovu dostupnih pokazatelja, incident je pripisan APT glumcu koji sponzorira kineski državi. Kompromizirana servisna služba preuzeta je van mreže, a u ovom trenutku ne postoji dokazi koji ukazuju na aktuel prijetnji daljnji pristup informacijama za trezor “, napisao je Hardikar.
Kineske vlasti su negirale navode Amerikanaca, a portparol je u Bejinškoj ambasadi u Washingtonu DC opisujući ih kao “iracionalnu” i dio “kampanje razmaza”.
Nizmet ranjivosti
Tehnološka firma u središtu incidenta, izvanreda, je američki dobavljač sa korijenima koji se izlazi iz sredine 1980-ih. Specijalizirao se za povlašteni upravljački identitet i privilegirano upravljanje pristupom (PIM / PAM), privilegirani pristupa i usluga upravljanja ranjivošću. Tvrdi više od 20.000 kupaca u 100 zemalja, uključujući volje tehničkih firmi poput Axiansa i servisnih usluga.
Također je posebno dobro korišten u javnom sektoru, s više kupaca u lokalnoj vlasti, zdravstvenoj zaštiti i komunalnim uslugama, uključujući i niz NHS tijela u Velikoj Britaniji.
U izjavi objavljenom na svojoj web stranici rekli su da je identificirao incident koji utječe na “ograničen broj” daljinskog supportaša saaas kupcima koji su nastale kroz kompromis aplikacijskog programiranja sučelja (API) ključa. Odmah je oduzeo ključ zaključivanju analize uzroka korijena u daljinsko podržati SaaS tehničko pitanje 5. decembra 2024. godine i počelo je obavještavati pogođene korisnike, uključujući trezor.
Od tada je identificirao dvije određene ranjivosti unutar daljinskog potpore i privilegovanog reziletiranog pristupa linijama proizvoda – jedna od kritične ozbiljnosti i jedna od srednje ozbiljnosti. Oni su dodijeljene oznake CVE-2024-12356 i CVE-2024-12686. Oboje su zakrpljeni za i za oblačno i on-prem verzije od 18. decembra 2024. godine.
Prema vanvremenju, pitanja su obje naredbene ranjivosti ubrizgavanja koje, uspješno iskorištavaju, omogućuju neovlaštenom udaljenom napadaču da izvrši naredbe operativnog sistema u kontekstu korisnika web lokacije.
Glasnogovornik izvanreda rekao je Kompjuter nedeljno: “Prethodno je identifikovano i preduzelo mere za rješavanje sigurnosnog incidenta početkom decembra 2024. godine koji je uključivao proizvod daljinskog potpore. Bezdrhtost je obavijestio ograničen broj kupaca koji su bili uključeni, a od tada radi na podršci tim kupcima. Nisu bili uključeni drugi proizvodi za vanredne struje. Provedba zakona je bila obaviještena i izdanja podržava istražne napore. “
Sigurnosni lanac za opskrbu još uvijek je veliko pitanje u 2025. godini
Sa ovim incidentom, van, nažalost postaje najnoviji u dugoj stručnjaka za cyber sigurnosti kako bi se pronašli praveći naslove nakon kompromisa proizvoda i rješenja dizajniranih za održavanje krajnjih korisnika.
Avishai Avivi, Ciso na Safebreachu, dobavljač povrede i alati za simulaciju napada, objasnio je kako se kršenje vjerovatno odvijalo. “Neprestrmjeta, neoronično, pruža sigurnu metodu za IT podršku osoblju da pruži udaljenu podršku krajnjim korisnicima”, rekao je. “Ova metoda uključuje uspostavljanje pouzdane veze između osobe za podršku i krajnjeg korisnika.
“Ovo pouzdano povezivanje probija kroz tradicionalne sigurnosne kontrole perimetra i daje povoljnu osobu koja podržava puni pristup i kontrolu nad radnom stanice krajnjeg korisnika. Jednom unutra, osoba za podršku može poslati dokumente preko tog sigurnog kanala ili maskirača kao krajnji korisnik i slati iste dokumente direktno.
“Sigurnosne kontrole štiteći američku mrežu blagajne nemaju načina da se zna da se nešto događa, jer je pouzdana veza, dobro, veruje.
“Je li bilo nešto što bi američka blagajna mogla učiniti da to spriječi? Čini se da je tužan odgovor da. Opet, pozivajući se na tehničke informacije, sustav, administratorima sustava u američkoj blagajni, ili dobavljač koji će vjerojatno pružiti usluge podrške, nisu uspjeli konfigurirati pouzdane lokacije iz kojih se mogu povezati agenti za podršku. Mi se ovo odnosimo kao IP Whitelisting [allowlisting].
“Ovaj neuspjeh je kritični rizik s bilo kojom takvom uslugom [and] Isto je pitanje dovelo do zapaženog kršenja 2023. i 2024. godine. Ovaj nadzor je zašto pozivamo sve dobavljače usluga, posebno pouzdane ICT-ove dobavljače, kako bi se slijedili usmjeravanje Cise Sigurno-podrazumevano vodstvo. “
Pročitajte više o hakerima i prevenciji cyberfime-a
-
Kompanija za sankcije odjela za trezorske obuke vezana za tiful soli
Napisao: Arielle Waldman
-
Vodič za usklađenost DOORA
Napisao: Cliff Saran
-
Ruska zvijezda Blizzard okreće za WhatsApp u kampanji za phishing-ribolov
Napisao: Alex Scroxton
-
Odjel za trezor hakiran: objašnjavajući kako se to dogodilo
Napisao: Sean Kerner