แฮกเกอร์ชาวจีนเข้าถึงเวิร์กสเตชันของกระทรวงการคลังสหรัฐฯ จากระยะไกล หลังจากเจาะระบบบริการคลาวด์ที่ดำเนินการโดย BeyondTrust
แฮกเกอร์ชาวจีนเข้าถึงเวิร์กสเตชันของกระทรวงการคลังสหรัฐฯ และเอกสารที่ไม่ได้จัดประเภท หลังจากเจาะระบบบริการคลาวด์ที่ดำเนินการโดย BeyondTrust ตามแถลงการณ์ของกระทรวงเมื่อวันจันทร์ที่ผ่านมา
แม้กระทรวงการคลังจะระบุว่านี่เป็น “เหตุการณ์ความปลอดภัยทางไซเบอร์ที่ร้ายแรง” แต่ไม่ได้ให้รายละเอียดเกี่ยวกับขอบเขตของการเจาะระบบ เช่น จำนวนเวิร์กสเตชันที่ถูกเจาะ หรือประเภทของเอกสารที่ถูกเข้าถึง
ในจดหมายถึงสมาชิกสภาผู้แทนราษฎร Aditi Hardikar ผู้ช่วยเลขานุการฝ่ายการจัดการของกระทรวงการคลังสหรัฐฯ เปิดเผยว่ากระทรวงทราบปัญหานี้จาก BeyondTrust เมื่อวันที่ 8 ธันวาคม เมื่อผู้ให้บริการแจ้งว่าผู้โจมตีสามารถเข้าถึงคีย์สำคัญที่ BeyondTrust ใช้เพื่อรักษาความปลอดภัยของบริการคลาวด์ ซึ่งใช้สำหรับการสนับสนุนทางเทคนิคระยะไกลให้กับผู้ใช้งานของสำนักงานส่วนกลางกระทรวงการคลัง (DO)
“ด้วยการเข้าถึงคีย์ที่ถูกขโมย ผู้โจมตีสามารถข้ามระบบความปลอดภัยของบริการ เข้าถึงเวิร์กสเตชันบางส่วนของผู้ใช้ใน DO และเข้าถึงเอกสารบางส่วนที่ไม่ได้จัดประเภทซึ่งดูแลโดยผู้ใช้เหล่านั้น” Hardikar กล่าว
แม้จะไม่มีการเปิดเผยรายละเอียดเพิ่มเติม Hardikar ยืนยันว่าเหตุการณ์นี้เป็นฝีมือของผู้โจมตี APT (Advanced Persistent Threat) ที่สนับสนุนโดยรัฐจีน
“กระทรวงการคลังได้ทำงานร่วมกับสำนักงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA), สำนักงานสืบสวนกลางแห่งสหรัฐฯ (FBI), หน่วยข่าวกรอง และผู้เชี่ยวชาญด้านนิติวิทยาศาสตร์จากบุคคลที่สาม เพื่อวิเคราะห์เหตุการณ์นี้อย่างละเอียดและประเมินผลกระทบโดยรวม CISA ได้รับการแจ้งทันทีเมื่อกระทรวงทราบเกี่ยวกับการโจมตี ขณะที่หน่วยงานอื่นๆ ได้รับแจ้งเมื่อขอบเขตของการโจมตีชัดเจน”
บริการที่ถูกเจาะได้ถูกปิดการใช้งานแล้ว และไม่มีหลักฐานบ่งชี้ว่าแฮกเกอร์ยังคงสามารถเข้าถึงข้อมูลของกระทรวงได้ Hardikar กล่าวในจดหมาย
เมื่อต้นเดือนนี้ BeyondTrust ได้ออกแพตช์สำหรับช่องโหว่ร้ายแรง (CVE-2024-12356) ในผลิตภัณฑ์ Privileged Remote Access (PRA) และ Remote Support (RS) ซึ่งเคยถูกนำไปใช้ในการโจมตี
ในเวลานั้น BeyondTrust เปิดเผยว่าเมื่อวันที่ 5 ธันวาคม 2024 การวิเคราะห์สาเหตุของปัญหาบริการ Remote Support SaaS พบว่ามีการเข้าถึงคีย์ API สำหรับ Remote Support SaaS โดยไม่ได้รับอนุญาต บริษัทได้ยกเลิกคีย์ดังกล่าวทันที แจ้งเตือนลูกค้าที่ได้รับผลกระทบ และระงับบริการในวันเดียวกัน พร้อมทั้งจัดหาบริการ Remote Support SaaS สำรองให้ลูกค้า
ข่าวเหตุการณ์เจาะระบบกระทรวงการคลังนี้เกิดขึ้นในช่วงที่เจ้าหน้าที่สหรัฐฯ กำลังรับมือกับผลกระทบจากแคมเปญจารกรรมไซเบอร์ขนาดใหญ่ของจีนที่เรียกว่า Salt Typhoon ซึ่งทำให้รัฐบาลปักกิ่งสามารถเข้าถึงข้อความส่วนตัวและการสนทนาทางโทรศัพท์ของชาวอเมริกันจำนวนหนึ่ง โดยเมื่อวันศุกร์ เจ้าหน้าที่ระดับสูงของทำเนียบขาวระบุว่าจำนวนบริษัทโทรคมนาคมที่ได้รับผลกระทบจากแคมเปญดังกล่าวเพิ่มขึ้นเป็นเก้าแห่งแล้ว
Credit: Securityweek.com
