שרת האוצר האמריקנית: "מודאגת מפעילות הסייבר הזדונית של סין"

שרת האוצר של ארצות הברית, ג'נט ילן, הביעה "דאגה רצינית" מפעילות הסייבר הזדונית שמבוצעת על ידי גורמים שפועלים בחסות סין.

בפגישה וירטואלית שהיא ערכה השבוע עם הא לייפנג, סגן ראש ממשלת סין, ילן הביעה את דאגתה, בעקבות פרצה גדולה שנחשפה אצל קבלנית אבטחת הסייבר BeyondTrust, וזו השפיעה על כמה מחשבים של משרד האוצר.

על פי הודעת המשרד, הפגישה, שהתקיימה פחות משבועיים לפני שילן עוזבת את תפקידה במסגרת חילופי הממשל בוושינגטון, עסקה בכמה נושאים, ביניהם אבטחת סייבר, מדיניות כלכלית ויחסי ארצות הברית-סין. ילן ניצלה את ההזדמנות כדי להעלות חששות לגבי מתקפות סייבר חוזרות ונשנות מצד שחקני איום הקשורים לסין, ואמרה כי "המתקפות גורמות לדאגה עצומה ומזיקות ליחסים שבין המדינות. הן עלולות לפגוע ביחסים הכלכליים הבילטרליים ולשבש את מאמצי קבוצות העבודה של שתי המדינות. זה לא משהו שבונה אמון. פעלנו בעבר ונפעל בעתיד נגד מבצעי מתקפות סייבר מסין וממדינות אחרות".

ילן גם ציינה שמשרד האוצר יתדרך מחוקקים אמריקניים על המתקפה.

"תקרית אבטחת הסייבר הגדולה"

CISA, הסוכנות לאבטחת תשתיות וסייבר, הודיעה השבוע שלמעט משרד האוצר, אין גוף פדרלי אחר שהושפע מ-"תקרית אבטחת הסייבר הגדולה" האחרונה, שבה היה מעורב השירות מבוסס הענן של BeyondTrust.

חקירת המתקפה, שנחשפה ב-31 בדצמבר, העלתה שהאקרים בחסות סין הצליחו להשיג גישה לתחנות עבודה של משרד האוצר ולמסמכים לא מסווגים – באמצעות מפתח API שנפרץ לשירות ניהול מרחוק של BeyondTrust.

משרד האוצר לא מסר פרטים על היקף התקרית, ו-CISA מסרה ששתי הסוכנויות עדיין עובדות על ההבנה ומיתון ההשפעות של המתקפה.

"נכון לעכשיו, אין אינדיקציה לכך שסוכנויות פדרליות אחרות הושפעו מהתקרית הזו. CISA ממשיכה לעקוב אחר המצב בתיאום עם הרשויות הפדרליות הרלוונטיות – כדי להבטיח תגובה מקיפה", נמסר מהסוכנות. "אבטחת המערכות הפדרליות והנתונים שהן מגינות עליהם הם בעלי חשיבות קריטית לביטחון הלאומי שלנו. אנחנו פועלים באגרסיביות כדי להגן מפני השפעות נוספות ונספק עדכונים, בהתאם לצורך".

על אף שמשרד האוצר האמריקני לא שיתף פרטים על מי מהשירותים של BeyondTrust נוצל במתקפה, הוא מסר שנודע לו על מפתח ה-API שנחשף ב-8 בדצמבר – באותו היום שבו BeyondTrust חשפה בפומבי שמפתח שלה לתמיכה מרחוק נפרץ וש-"מספר מוגבל של לקוחות הושפע".

שבוע לאחר מכן, BeyondTrust חשפה את החולשה, שסווגה כ-CVE-2024-12356, עם דרגת חומרה (CVSS) קריטית של 9.8. לאחר יומיים, CISA הוסיפה את פגם האבטחה לקטלוג הפגיעויות הידועות המנוצלות (KEV) שלה. במקביל, BeyondTrust הנפיקה תיקונים עבור הבאג. השבוע הודיעה החברה שהיא השלימה את פריסת הטלאים, שחקירת האירוע כמעט הושלמה וש-"לא זוהו לקוחות חדשים, מעבר לאלה שהתקשרנו איתם בעבר".