- Katılım
- 7 Aralık 2024
- Mesajlar
- 219
ABD Hazine Bakanlığı'nın iş istasyonlarını ele geçiren Çinli casusların, kurumlara ve kişilere yönelik yaptırımlardan sorumlu bir hükümet ofisine ait verileri çaldığı bildirildi.
Pazartesi günü, Hazine, Kongre'ye siber saldırıyı ifşa eden bir mektup gönderdi. Günler sonra, Washington Post'un bir haberine göre, Pekin'in casuslarının özellikle ekonomik ve ticari yaptırımları yöneten Yabancı Varlıklar Kontrol Ofisi'ni (OFAC) ve Hazine Bakanlığı Ofisi'ni hedef aldığını öğrendik.
WaPo, ABD'li isimsiz yetkililere dayandırdığı haberinde, güvenlik ihlalinin Çin'in Amerika ve genel olarak Sam Amca hakkında, özellikle de yakında yaptırımlarla karşı karşıya kalabilecek Çinli kuruluşlarla ilgili istihbarat toplamak için aldığı önlemleri gösterdiğini belirtti.
Hazine Bakanlığı Yönetimden Sorumlu Bakan Yardımcısı Aditi Hardikar'ın ABD milletvekillerine gönderdiği 30 Aralık tarihli mektupta, saldırının, kötü niyetli kişilerin yazılım üreticisinin Uzaktan Destek SaaS ürünü için bir API anahtarını çaldığı daha önceki bir BeyondTrust güvenlik olayına dayandığı belirtiliyordu . Bu, anahtar hırsızlarının bazı Hazine ofis iş istasyonlarına ve bu kullanıcılar tarafından tutulan "belirli, sınıflandırılmamış belgelere" uzaktan erişmesine olanak sağladı.
Mektupta, meraklılar tarafından tehlikeye atılan BeyondTrust servislerinin çevrimdışı bırakıldığı ve şu anda "tehdit aktörünün Hazine bilgilerine erişmeye devam ettiğine dair hiçbir kanıt bulunmadığı" ifade edildi.
ABD Hazine Bakanlığı ve Çin Dışişleri Bakanlığı, güvenlik ihlaliyle ilgili sorularına yanıt vermedi.
BeyondTrust sözcüsü, müşterileri bu sorunla ilgili güncellenmiş bir uyarıya yönlendirdi ve güvenliğini artırmak için adımlar attığını söyledi. Bu güvenlik açığı için tüm bulut örneklerine yama uygulandı, diye belirtti şirket. Ayrıca kendi kendine barındırılan sürümler için bir yama yayınladık.
BeyondTrust, olaya karışan sınırlı sayıda müşteriyi bilgilendirdi ve o zamandan beri bu müşterilere destek olmak için çalışıyor, dedi sözcü. Başka hiçbir BeyondTrust ürünü olaya karışmadı. Kolluk kuvvetleri bilgilendirildi ve BeyondTrust soruşturma çabalarını destekliyor.
Hazine Bakanlığı'nın mektubunda ayrıca güvenlik ihlalinin "Çin destekli Gelişmiş Sürekli Tehdit (APT) aktörüne" atfedildiği belirtiliyor. Bu dikkat çekici çünkü ABD yetkilileri soruşturmanın bu kadar erken bir aşamasında diğer hükümetlerin siber casusluk ekipleriyle suçlama oyununu pek oynamıyor.
SafeBreach Bilgi Güvenliği Sorumlusu Avishai Avivi, gönderdiği e-postada, Özellikle bu tür ihlaller söz konusu olduğunda, bu kadar açık atıfların yapılabilmesi için erken bir bildirim yapılması alışılmadık bir durum dedi.
Avivi, "BeyondTrust tarafından sağlanan teknik detaylara baktığımızda, güvenlik açığının dört IP adresiyle ilişkili olduğunu görebiliyoruz" diye devam etti.
"Bu adresler, New Jersey Bulut Hizmeti Sağlayıcısı (CSP) olan DigitalOcean'a aittir. Bu bilgi bana kötü niyetli aktörlerin bu bulut sağlayıcısını BeyondTrust hizmetine sızmak ve ABD Hazine Bakanlığı'na olan güvenilir bağlantıyı istismar etmek için bir sıçrama noktası olarak kullandıklarını gösteriyor. Açık atıf, soruşturmanın bu dört adresi Çin'den kaynaklanan hesaplarla ilişkilendirebildiğini gösteriyor."
Pazartesi günü, Hazine, Kongre'ye siber saldırıyı ifşa eden bir mektup gönderdi. Günler sonra, Washington Post'un bir haberine göre, Pekin'in casuslarının özellikle ekonomik ve ticari yaptırımları yöneten Yabancı Varlıklar Kontrol Ofisi'ni (OFAC) ve Hazine Bakanlığı Ofisi'ni hedef aldığını öğrendik.
WaPo, ABD'li isimsiz yetkililere dayandırdığı haberinde, güvenlik ihlalinin Çin'in Amerika ve genel olarak Sam Amca hakkında, özellikle de yakında yaptırımlarla karşı karşıya kalabilecek Çinli kuruluşlarla ilgili istihbarat toplamak için aldığı önlemleri gösterdiğini belirtti.
Hazine Bakanlığı Yönetimden Sorumlu Bakan Yardımcısı Aditi Hardikar'ın ABD milletvekillerine gönderdiği 30 Aralık tarihli mektupta, saldırının, kötü niyetli kişilerin yazılım üreticisinin Uzaktan Destek SaaS ürünü için bir API anahtarını çaldığı daha önceki bir BeyondTrust güvenlik olayına dayandığı belirtiliyordu . Bu, anahtar hırsızlarının bazı Hazine ofis iş istasyonlarına ve bu kullanıcılar tarafından tutulan "belirli, sınıflandırılmamış belgelere" uzaktan erişmesine olanak sağladı.
Mektupta, meraklılar tarafından tehlikeye atılan BeyondTrust servislerinin çevrimdışı bırakıldığı ve şu anda "tehdit aktörünün Hazine bilgilerine erişmeye devam ettiğine dair hiçbir kanıt bulunmadığı" ifade edildi.
ABD Hazine Bakanlığı ve Çin Dışişleri Bakanlığı, güvenlik ihlaliyle ilgili sorularına yanıt vermedi.
BeyondTrust sözcüsü, müşterileri bu sorunla ilgili güncellenmiş bir uyarıya yönlendirdi ve güvenliğini artırmak için adımlar attığını söyledi. Bu güvenlik açığı için tüm bulut örneklerine yama uygulandı, diye belirtti şirket. Ayrıca kendi kendine barındırılan sürümler için bir yama yayınladık.
BeyondTrust, olaya karışan sınırlı sayıda müşteriyi bilgilendirdi ve o zamandan beri bu müşterilere destek olmak için çalışıyor, dedi sözcü. Başka hiçbir BeyondTrust ürünü olaya karışmadı. Kolluk kuvvetleri bilgilendirildi ve BeyondTrust soruşturma çabalarını destekliyor.
Hazine Bakanlığı'nın mektubunda ayrıca güvenlik ihlalinin "Çin destekli Gelişmiş Sürekli Tehdit (APT) aktörüne" atfedildiği belirtiliyor. Bu dikkat çekici çünkü ABD yetkilileri soruşturmanın bu kadar erken bir aşamasında diğer hükümetlerin siber casusluk ekipleriyle suçlama oyununu pek oynamıyor.
SafeBreach Bilgi Güvenliği Sorumlusu Avishai Avivi, gönderdiği e-postada, Özellikle bu tür ihlaller söz konusu olduğunda, bu kadar açık atıfların yapılabilmesi için erken bir bildirim yapılması alışılmadık bir durum dedi.
Avivi, "BeyondTrust tarafından sağlanan teknik detaylara baktığımızda, güvenlik açığının dört IP adresiyle ilişkili olduğunu görebiliyoruz" diye devam etti.
"Bu adresler, New Jersey Bulut Hizmeti Sağlayıcısı (CSP) olan DigitalOcean'a aittir. Bu bilgi bana kötü niyetli aktörlerin bu bulut sağlayıcısını BeyondTrust hizmetine sızmak ve ABD Hazine Bakanlığı'na olan güvenilir bağlantıyı istismar etmek için bir sıçrama noktası olarak kullandıklarını gösteriyor. Açık atıf, soruşturmanın bu dört adresi Çin'den kaynaklanan hesaplarla ilişkilendirebildiğini gösteriyor."
