This post is also available in:
English (אנגלית)
בתחילת החודש, האקרים המקושרים לסין השיגו גישה לא מורשית למסמכים של משרד האוצר האמריקאי בעזרת פרצת אבטחת סייבר במערכות הארגון. החדירה, המיוחסת לאיום שוהה מתקדם (Advanced Persistent Threat) של המדינה הסינית, התגלתה ב-8 בדצמבר, כאשר חברת אבטחת הסייבר BeyondTrust הזהירה את האוצר מפני פעילות חשודה.
על פי המכתב ממשרד האוצר האמריקאי לסנאטורים שרוד בראון וטים סקוט, ההאקרים ניצלו את שירות התמיכה מרחוק של ספק אבטחת סייבר של כדי לפגוע ברשת האוצר. הספק, BeyondTrust, סיפק שירותי אבטחת סייבר למשרד האוצר כאשר התוקפים הצליחו לגנוב מפתח המשמש לאבטחת פלטפורמה מבוססת ענן לתמיכה טכנית מרחוק.
עם המפתח הגנוב, ההאקרים עקפו פרוטוקולי אבטחה, השיגו גישה מרחוק לתחנות עבודה של עובדים ולמסמכים בלתי-מסווגים. משרד האוצר תיאר את הפריצה כ"תקרית גדולה" תחת הנחיות האבטחה שלו, ושירות BeyondTrust שנפגע הועבר למצב לא מקוון כדי למנוע גישה לא מורשית נוספת. למרות ההפרה, התקיפה לא הצליחה להגיע למידע מסווג.
כפי שדווח ב-Cybernews, ג'ון סקוט-ריילטון, חוקר בכיר ב-Citizen Lab, ציין כי התוקפים השתמשו בפלטפורמה כ"דלת אחורית" כדי להיכנס למערכות האוצר. הערותיו העלו חששות לגבי איומים פוטנציאליים על לקוחות אחרים של חברת האבטחה, בהתחשב במגוון הרחב של לקוחותיה מהממשלה והמגזר הפרטי.
בתגובה לפריצה, סוכנות אבטחת הסייבר והתשתיות של ארה"ב (CISA) וה-FBI פתחו בחקירה רשמית, בתמיכת מומחי צד שלישי. ביונדטראסט אישרה בהצהרה לרויטרס כי היא זיהתה וטיפלה בתקרית האבטחה מוקדם יותר בדצמבר, הודיעה ללקוחות שנפגעו, וסייעה בחקירה המתמשכת.
טום הגל, חוקר איום ב-SentinelOne, הדגיש כי התקפה זו עוקבת אחר דפוס נפוץ של קבוצות סייבר המקושרות לסינים, אשר לעתים קרובות מתמקדות בשירותי צד שלישי אמינים כאמצעי להשגת גישה לא מורשית לרשתות רגישות.
נכון לעכשיו, ממשלת סין הכחישה כל מעורבות, וכינתה את ההאשמות חסרות בסיס.
