Поделиться
Китайские хакеры взломали несколько Минфин США
Кибершпионская структура Silk Typhoon успешно атаковала сразу несколько подразделений Казначейства США в поисках определенных документов. Масштабы утечки неясны.
Кому санкций?
Китайская кибергруппировка Silk Typhoon, которая, как считается, пользуется поддержкой спецслужб Китая, осуществила успешную кибератаку на подразделение Министерства финансов США – Комитет по иностранным инвестициям в Соединенных Штатах. Эта структура осуществляет оценку всех иностранных инвестиций и сделок с недвижимостью на предмет риска для национальной безопасности страны.
Те же хакеры, по-видимому, взломали и Управление по контролю над иностранными активами, еще одно подразделение, которое отвечает за реализацию торговых и экономических санкций.
По имеющимся данным, использовался украденный ключ API BeyondTrust Remote Support SaaS. Хакеров явно интересовали сведения о гражданах КНР, против которых могут быть в ближайшее время введены санкции.
Представители Управления по защите инфраструктуры и кибербезопасности США (CISA) в начале недели объявили, что другие федеральные агентства атака не затронула. По данным Bloomberg, операторы атаки смогли получить доступ к «незасекреченным данным о возможных санкциях и другим документам». Кроме того, операторы Silk Typhoon, по-видимому, смогли взломать Управление по финансовым исследованиям при Министерстве финансов. Последствия этой атаки пока неясны.
Ключ BeyondTrust аннулирован, и пока что эксперты по киберзащите не обнаружили признаков, что хакеры сохранили доступ к взломанным системам.
«Пока информации не настолько много, чтобы судить о подоплеке и масштабах произошедшего, но обращает на себя внимание отсутствие деструктивной составляющей в атаке, – говорит Александр Зонов, эксперт по информационной безопасности компании SEQ. – По крайней мере, на данном этапе. В текущих условиях это можно назвать игрой в белых перчатках. Скорее всего, ответный ход будет предпринят в скором времени и в сходном же формате».
Шелковые хакеры
Silk Typhoon (Hafnium) известна целой серией успешных атак на организации в США, Австралии, Японии и Вьетнаме; среди их целей – оборонные подрядчики, интеллектуальные центры и различные негосударственные организации, а также центры здравоохранения, юридические структуры и университеты.
Группировка специализируется на кибершпионаже, сборе информации и краже данных. Как правило, они используют уязвимости, о которых еще не известно вендорам (уязвимости нулевого дня), а также хакерские инструменты, такие как веб-шелл China Chopper.
Широкую известность этот коллектив получил в 2021 г. после успешной эксплуатации уязвимостей ProxyLogon (CVE-2021-26855) в Microsoft Exchange Server. Как следствие, операторам удалось скомпрометировать около 68 500 серверов до того, как были выпущены патчи.
Вскоре после публикации сведений об этой уязвимости начались волны атак на серверы, на которые не были установлены патчи. Атаки продолжались как минимум до середины 2022 г.
Поделиться
Короткая ссылка
