Çin Devleti Destekli Grupla Bağlantılı Siber Saldırı ABD Hazine Bakanlığı’nı Vurdu

ABD Hazine Bakanlığı, 8 Aralık 2024’te önemli bir siber güvenlik ihlali yaşadığını ve devlet destekli bir Çinli siber aktörün sistemlerine yetkisiz erişim sağladığını doğruladı.

Bu ihlal, Hazine Bakanlığı’nın Bölüm Ofisleri (DO) son kullanıcıları için uzaktan teknik destek hizmetleri sağlamış olan üçüncü taraf bir yazılım sağlayıcısı olan, BeyondTrust ile bağlantılıydı.

Yasama organlarına gönderilen bir mektupta, Hazine Bakanlığı olayı ayrıntılı olarak anlattı ve yanıt olarak atılan adımları özetledi. İhlal, tehdit aktörünün BeyondTrust tarafından bir bulut tabanlı hizmeti güvence altına almak için kullanılan bir anahtara eriştiği zaman meydana geldi.

Bu anahtarla, saldırgan güvenlik önlemlerini aştı, Uzaktan Hazine çalışma istasyonlarına sızdı ve etkilenen sistemlerde depolanan sınıflandırılmamış belgelere erişti.

İhlali keşfettikten sonra, Hazine hemen Siber Güvenlik ve Altyapı Güvenlik Ajansı’na (CISA), Federal Soruşturma Bürosu’na (FBI) ve İstihbarat Topluluğu’na bildirimde bulundu.

Üçüncü taraf adli bilirşim uzmanları da durumu değerlendirmek ve saldırının tam kapsamını belirlemek üzere göreve getirildi. Hazine’ye göre, mevcut kanıtlar olayı bir Çin devlet sponsorluğundaki İleri Düzeyde Sürekli Tehdit (APT) grubuna bağlıyor.

CNN, sızdırılan iş istasyonlarının tam sayısının kesin olmadığını belirtiyor. Ancak, bir Hazine sözcüsü “birkaç” Hazine kullanıcı istasyonuna erişildiğini doğruladı. Ayrıca, Hazine’nin ihlal nedeniyle oluşan zararın boyutunu tam olarak değerlendirip değerlendiremediği de belirsiz.

Tom Hegel, bir siber güvenlik firması olan SentinelOne’da tehdit araştırmacısı olarak görev yapmakta ve Reuters‘a yaptığı açıklamada, bildirilen güvenlik olayının, özellikle PRC ile bağlantılı grupların bilinen davranış örüntüsüyle uyumlu olduğunu belirtti. Özellikle, son yıllarda daha yaygın hale gelen güvendiği üçüncü taraf hizmetlere artan bağımlılıkları bu örüntüye dahildir.

Güvenliği tehlikeye giren servis artık çevrimdışı hale getirildi ve şu anda, tehdit oyuncusunun Hazine bilgilerine erişimini sürdürdüğüne dair bir belirti bulunmamaktadır, mektuba göre.

İhlal karşısında Hazine yetkilileri, saldırıya izleme ve yanıt verme için gerekli araçları sağlayan Siber Güvenlik Geliştirme Hesabı (CEA) kapsamında yapılan yatırımları övmüştür.

Federal Bilgi Güvenliği Modernizasyon Yasası (FISMA) hükümlerine göre, Hazine bu olayı büyük bir siber güvenlik olayı olarak belirlemiştir.

Washington Post, bu olayın bir dizi yüksek profilli siber saldırının ardından geldiğini belirtiyor. Çin’e atfedilen bu saldırılar arasında yer alıyor.

Bu yılın başlarında, Salt Typhoon olarak bilinen Çinli hacker grubu, bir düzineye yakın ABD telekomünikasyon şirketini ele geçirerek, aralarında Başkan adayı Donald Trump ve Başkan Yardımcısı adayı JD Vance’in telefon görüşmeleri ve metin mesajlarının da bulunduğu iletişimleri kesintiye uğrattı.