Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
~Chińscy hackerzy przeniknęli do komputerów Departamentu Skarbu USA. Włamali się do dostawcy usługi zdalnego dostępu.
Najpierw zhackowali jednego z dostawców – tj. firmę BeyondTrust (zapewniającą w szczególności usługi związane ze zdalnym dostępem). A dokładniej – zhackowali usługę zapewniającą zdalny dostęp… i taki dostęp uzyskali na komputerach m.in. jednego z klientów firmy – tj. Departamentu Skarbu USA. Następnie hackerzy wykradli stamtąd „pewne dane”.
W trakcie dochodzenia zidentyfikowano krytyczną podatność CVE-2024-12356, która anonimowemu użytkownikowi (atakującemu) umożliwiała na wykonanie poleceń na systemie operacyjnym celu. Czyli jeszcze inaczej – na komputerze działa usługa, zapewniająca zdalny dostęp (na potrzeby rozwiązywania problemów) – teraz atakujący łączy się z tą usługą, wysyła odpowiednio złośliwe pakiety i przejmuje komputer ofiary. (Nota bene – nie jest do końca jasne czy polecenie to można wykonywać od razu na komputerze ofiary, czy najpierw na serwerze/aplikacji do zdalnego dostępu – a dopiero finalnie można uzyskać dostęp na komputerze ofiary). Organizacja CISA dodała tę podatność do listy ’aktywnie wykorzystywanych’.
Z drugiej strony BeyondTrust wspomina że, atakujący pozyskali klucz API, dzięki czemu mogli resetować hasła dla kont „lokalnych aplikacji” (cokolwiek to znaczy w tym przypadku…)
W każdym razie atak na BeyondTrust miał miejsce na początku grudnia 2024, obecnie pojawiła się taka informacja:
Chinese state-sponsored hackers breached the U.S. Treasury Department’s computer security guardrails this month and stole documents in what Treasury called a „major incident,” according to a letter to lawmakers that Treasury officials provided to Reuters on Monday
Wnioski dla nas:
✅ Pamiętaj o odpowiednim sprawdzeniu bezpieczeństwa swoich dostawców IT – w szczególności zapewniających Ci kluczowe funkcje czy mających istotny dostęp do Twoich zasobów IT.
✅ Jeśli zapewniasz usługi zdalnego dostępu / wsparcia dla użytkowników – to rozważ umożliwienie tego typu działań tylko z konkretnych adresów IP (ciekawostka: wspomniane rozwiązanie BeyondTrust ma taką opcję, ale chyba w Departamencie Skarbu niespecjalnie z tego korzystali).
~Michał Sajdak
