Группа правительственных китайских хакеров проникла в Министерство финансов США, получив доступ к 419 компьютерам сотрудников и руководства, занимающихся санкциями, международными вопросами и разведкой. Об этом говорится в докладе ведомства, с которым ознакомилосьBloomberg News.
Злоумышленники получили учетные записи пользователей и доступ к более чем 3000 файлам на неклассифицированных персональных компьютерах. Среди украденной информации были документы, касающиеся политики, поездок, организационные схемы, материалы по санкциям, иностранным инвестициям и данные с пометкой “Для служебного пользования”. При этом доказательств взлома секретных систем или почты министерства не обнаружено.
Хакеры также получили материалы расследований Комитета по иностранным инвестициям (CFIUS), который оценивает национальную безопасность сделок с недвижимостью и зарубежными инвестициями. Доклад подтверждает, что нападение было связано с китайской группировкой Silk Typhoon (UNC5221). Хакеры действовали вне рабочего времени, чтобы избежать обнаружения.
По информации министерства, вторжение длилось с конца сентября по середину ноября. Наибольший интерес киберпреступники проявили к Управлению по контролю за иностранными активами, Управлению международных отношений и Управлению разведки и анализа . Отмечается, что хакеры сосредоточились на определенных старших должностных лицах. Злоумышленники также получили доступ к личным финансовым документам сотрудников, включая банковские и страховые данные.
Министерство оперативно уведомило CISA после подтверждения инцидента , а затем привлекло ФБР и другие ведомства для расследования. Несмотря на то, что доказательств длительного пребывания хакеров в системах нет, расследование продолжается, включая оценку ущерба.
Подрядчик BeyondTrust, через сети которого произошел взлом, был отключен от системы. BeyondTrust имела контракты с федеральным правительством на сумму более $4 миллионов. Сейчас Министерство рассматривает возможность замены подрядчика, несмотря на отсутствие прямых доказательств недостатков безопасности со стороны BeyondTrust.
Напомним, что в декабре CISA включило в свой каталог известных эксплуатируемых уязвимостей (KEV) критическую проблему в продуктах BeyondTrust Privileged Remote Access (PRA) и Remote Support (RS), которая уже используется злоумышленниками. Пока неясно, стала ли данная ошибка вектором компрометации Минфина. Расследование продолжается.