Chinesische Hacker dringen bei alarmierendem Cybersicherheitsvorfall in US-Finanzsysteme ein
Das US-Finanzministerium hat bestätigt, dass chinesische Hacker aus der Ferne auf Arbeitsstationen und nicht klassifizierte Dokumente zugegriffen haben. Die Behörden sprechen von einem „schweren Cybersicherheitsvorfall“. Der Einbruch ereignete sich, nachdem Hacker einen Cloud-basierten Dienst von BeyondTrust kompromittiert hatten, einem Unternehmen, das auf privilegiertes Zugriffsmanagement spezialisiert ist.
Beamte des Finanzministeriums räumten zwar die Schwere des Vorfalls ein, doch wichtige Details bleiben unklar. Das Ministerium hat weder die Anzahl der betroffenen Arbeitsplätze noch die Art der abgerufenen Dokumente bekannt gegeben.
Inhaltsverzeichnis
Datenleck im Zusammenhang mit Advanced Persistent Threat (APT) mit China
Der Angriff, der einer staatlich geförderten Advanced Persistent Threat (APT)-Gruppe aus China zugeschrieben wird, erfolgte, nachdem die Hacker einen gestohlenen API-Schlüssel ausnutzten, der von BeyondTrust verwendet wurde. Laut Aditi Hardikar, stellvertretende Sekretärin für Management im Finanzministerium, hat BeyondTrust das Finanzministerium am 8. Dezember über verdächtige Aktivitäten im Zusammenhang mit seinem Cloud-basierten technischen Supportdienst informiert.
„Mit dem Zugriff auf den gestohlenen Schlüssel konnte der Bedrohungsakteur die Sicherheit des Dienstes umgehen, aus der Ferne auf die Benutzerarbeitsplätze der Treasury Departmental Offices (DO) zugreifen und von diesen Benutzern verwaltete, nicht klassifizierte Dokumente abrufen“, erklärte Hardikar in einem Brief an die Gesetzgeber.
Obwohl nicht klassifizierte Systeme im Allgemeinen weniger sensibel sind als klassifizierte Netzwerke, kann ihre Beeinträchtigung dennoch ein erhebliches Risiko darstellen und möglicherweise staatliche Operationen aufdecken oder weitere Angriffe ermöglichen.
Koordinierte Reaktion im Gange
Das Finanzministerium hat die Cybersecurity and Infrastructure Security Agency (CISA), das FBI, die Geheimdienste und private Forensiker beauftragt, den Verstoß zu analysieren und seine Auswirkungen einzuschätzen. Laut Hardikar arbeiten diese Behörden zusammen, um sicherzustellen, dass der Vorfall unter Kontrolle bleibt und die Abwehr gegen zukünftige Bedrohungen gestärkt wird.
Trotz der schnellen Reaktion des CISA und der Entscheidung des Finanzministeriums, den kompromittierten Dienst umgehend offline zu nehmen, gibt es bislang keine Anzeichen dafür, dass die Hacker weiterhin Zugriff auf die Systeme der Abteilung haben.
BeyondTrust-Sicherheitslücke ausgenutzt
BeyondTrust, der Anbieter im Zentrum des Vorfalls, hat kürzlich Patches für eine kritische Sicherheitslücke (CVE-2024-12356) in seinen Produkten Privileged Remote Access (PRA) und Remote Support (RS) herausgegeben. Am 5. Dezember entdeckte das Unternehmen, dass ein API-Schlüssel für sein Remote Support SaaS kompromittiert worden war, was eine sofortige Abschaltung der betroffenen Instanzen und eine Benachrichtigung der betroffenen Kunden auslöste.
Kontext: Eine breitere Welle chinesischer Cyber-Spionage
Dieser Angriff auf das Finanzministerium erfolgte im Zuge wachsender Besorgnis über eine größere chinesische Cyberspionage-Kampagne mit dem Spitznamen „ Salt Typhoon “. Im Rahmen dieser Kampagne verschaffte Peking Berichten zufolge Zugriff auf vertrauliche Kommunikation, darunter Textnachrichten und Telefongespräche, an denen US-Bürger beteiligt waren.
Ende Dezember bestätigten US-Behörden, dass neun Telekommunikationsunternehmen von Salt Typhoon angegriffen worden seien. Der Einbruch im Finanzministerium, der scheinbar keinen Zusammenhang mit dem Angriff herstellt, unterstreicht das Ausmaß und die Raffinesse der vom chinesischen Staat gesponserten Cyber-Operationen, die auf die US-Infrastruktur und Regierungssysteme abzielen.
Die wichtigsten Erkenntnisse
Dieser Vorfall ist eine deutliche Erinnerung an die kritischen Schwachstellen, die Abhängigkeiten von Drittanbietersoftware darstellen. Cloudbasierte Dienste, die oft als praktisch und sicher angesehen werden, können bei Ausnutzung zu einem Einfallstor für Angreifer werden.
Organisationen – staatliche wie private – müssen wachsam bleiben und für robuste Sicherheitsprotokolle, regelmäßige Patches und umfassende Notfallreaktionspläne sorgen. Das schnelle Eingreifen der Cybersicherheitsbehörden durch die US-Regierung unterstreicht die Bedeutung einer koordinierten Reaktion auf Cyberbedrohungen.
Im Verlauf der Untersuchung wird eines klar: In einer Zeit zunehmender geopolitischer Spannungen und immer ausgefeilterer Cyberangriffe steht für die Cybersicherheit mehr auf dem Spiel als je zuvor.