Departemen Keuangan Amerika Serikat mengatakan pihaknya mengalami “insiden keamanan siber besar” yang memungkinkan tersangka pelaku ancaman Tiongkok mengakses beberapa komputer dan dokumen yang tidak rahasia dari jarak jauh.
“Pada tanggal 8 Desember 2024, Departemen Keuangan diberitahu oleh penyedia layanan perangkat lunak pihak ketiga, BeyondTrust, bahwa pelaku ancaman telah memperoleh akses ke kunci yang digunakan oleh vendor untuk mengamankan layanan berbasis cloud yang digunakan untuk memberikan dukungan teknis bagi Departemen Keuangan dari jarak jauh. pengguna akhir Kantor Departemen (DO),” kata departemen itu dalam surat yang memberi tahu Komite Senat tentang Perbankan, Perumahan, dan Urusan Perkotaan.
“Dengan akses ke kunci yang dicuri, pelaku ancaman dapat mengesampingkan keamanan layanan, mengakses stasiun kerja pengguna Treasury DO tertentu dari jarak jauh, dan mengakses dokumen tertentu yang tidak rahasia yang dikelola oleh pengguna tersebut.”
Badan federal tersebut mengatakan bahwa pihaknya telah bekerja sama dengan Badan Keamanan Siber dan Infrastruktur (CISA) dan Biro Investigasi Federal (FBI), dan bukti-bukti yang tersedia menunjukkan bahwa hal tersebut merupakan hasil kerja dari Advanced Persistent Threat (APT) yang tidak disebutkan namanya dan disponsori oleh negara. aktor dari Tiongkok.
Departemen Keuangan lebih lanjut mengatakan bahwa mereka telah menjadikan layanan BeyondTrust offline, dan menambahkan tidak ada bukti bahwa pelaku ancaman memiliki akses terhadap lingkungan.
Awal bulan ini, BeyondTrust mengungkapkan bahwa mereka adalah korban intrusi digital yang memungkinkan pelaku kejahatan melanggar beberapa contoh SaaS Dukungan Jarak Jauh.
Perusahaan mengatakan penyelidikannya atas insiden tersebut menemukan bahwa penyerang memperoleh akses ke kunci API SaaS Dukungan Jarak Jauh yang memungkinkan mereka mengatur ulang kata sandi untuk akun aplikasi lokal. BeyondTrust belum mengungkapkan bagaimana kunci itu diperoleh.
“BeyondTrust segera mencabut kunci API, memberi tahu pelanggan yang diketahui terkena dampaknya, dan menangguhkan instans tersebut pada hari yang sama sambil menyediakan instans SaaS Dukungan Jarak Jauh alternatif untuk pelanggan tersebut,” katanya.
Penyelidikan juga menemukan dua kelemahan keamanan pada produk Privileged Remote Access (PRA) dan Remote Support (RS) (CVE-2024-12356, skor CVSS: 9.8 dan CVE-2024-12686, skor CVSS: 6.6), yang sebelumnya merupakan telah ditambahkan ke katalog Kerentanan yang Diketahui Dieksploitasi (KEV) CISA, mengutip bukti eksploitasi aktif di alam liar.
Pengungkapan ini terjadi ketika beberapa penyedia telekomunikasi AS berada di garis bidik aktor ancaman lain yang disponsori negara Tiongkok bernama Salt Typhoon.
