The U.S. Treasury Department’s Office of Foreign Assets Control (OFAC) američkog Ministarstva financija uveo je sankcije kineskoj kompaniji za cyber sigurnost i cyber hakeru sa sjedištem u Šangaju zbog njihovih navodnih veza s grupom Salt Typhoon i nedavnog kompromisa savezne agencije.
“Maliciozni cyber hakeri povezani s Narodnom Republikom Kinom (PRC) nastavljaju ciljati sisteme američke vlade, uključujući nedavno ciljanje sistema informacionih tehnologija (IT) Trezora, kao i osjetljivu kritičnu infrastrukturu SAD”, navodi se u saopštenje za javnost.
Sankcije su usmjerene na Yin Kechenga, za kojeg se procjenjuje da je bio cyber haker više od decenije i povezan s kineskim Ministarstvom državne sigurnosti (MSS). Kecheng je, prema Ministarstvu finansija, bio povezan s probijanjem vlastite mreže koje je otkriveno ranije ovog mjeseca.
Incident je uključivao hakovanje sistema BeyondTrust-a koji je omogućio hakerima da se infiltriraju u neke od instanci SaaS-a za udaljenu podršku kompanije korištenjem kompromitovanog Remote Support SaaS API keys. Aktivnost je pripisana nacionalnoj grupi pod nazivom Silk Typhoon (bivši Hafnium), koja je bila povezana s tadašnjim iskorištavanjem višestrukih sigurnosnih propusta (tzv. ProxyLogon) u Microsoft Exchange Serveru početkom 2021.
Prema nedavnom izvještaju Bloomberga, navodno su napadači provalili u najmanje 400 kompjutera koji pripadaju Trezoru i ukrali preko 3.000 fajlova, uključujući politiku i putne isprave, organizacione karte, materijal o sankcijama i stranim ulaganjima i ‘Zakon Podaci osjetljivi na implementacija.
Takođe su dobili neovlašteni pristup kompjuterima koje koriste sekretarka Janet Yellen, zamjenica sekretara Adewale Adeyemo i vršilac dužnosti podsekretara Bradley T. Smith, kao i materijal o istragama koje vodi Komitet za strana ulaganja u SAD, dodaje se u izvještaju.
Vjeruje se da se Silk Typhoon preklapa s klasterom kojeg prati Mandiant u vlasništvu Google-a pod imenom UNC5221 , špijunski glumac koji je povezan s Kinom, poznat po svom ekstenzivnom naoružanju ranjivosti Ivanti nultog dana. Hacker News je kontaktirao Mandiant za daljnji komentar, a mi ćemo ažurirati priču ako dobijemo odgovor.
Sankcije su takođe usmjerene na Sichuan Juxinhe Network Technology Co., LTD., kompaniju za cyber sigurnost sa sjedištem u Sichuanu, za koju je Ministarstvo financija rekla da je bila direktno uključena u seriju cyber napada usmjerenih na velike američke kompanije za pružanje telekomunikacijskih i internet usluga u zemlji.
Aktivnost je povezana s drugom kineskom hakerskom grupom pod nazivom Salt Typhoon (aka Earth Estries, FamousSparrow, GhostEmperor i UNC2286). Procjenjuje se da je haker aktivan najmanje od 2019.
“MSS je održavao jake veze sa više kompanija za eksploataciju računarskih mreža, uključujući Sichuan Juxinhe”, saopštilo je Ministarstvo finansija.
Odvojeno, program Stejt departmenta za nagrade za pravdu nudi nagradu do 10 miliona dolara za informacije koje bi mogle da dovedu do identifikacije ili lokacije bilo koje osobe koja deluje po nalogu ili pod kontrolom protivnika koji sponzoriše strana država i učestvovati u maliciozni cyber aktivnostima protiv kritične infrastrukture SAD-a kršeći Zakon o kompjuterskim prevarama i iskorištavanja.
“Ministarstvo financija nastavit će koristiti svoje autoritet da pozove na odgovornost maliciozni cyber hakere koji ciljaju na američki narod, naše kompanije i vladu Sjedinjenih Država, uključujući one koji su ciljali posebno na Ministarstvo financija”, rekao je Adeyemo u izjavi.
Napadi na američke provajdere telekomunikacionih usluga od tada su podstakli Federalnu komisiju za komunikacije (FCC) da izda nova pravila koja zahtijevaju od kompanija koje posluju u sektoru da osiguraju svoje mreže od nezakonitog pristupa ili presretanja komunikacija. Odlazeća predsjednica FCC-a Jessica Rosenworcel opisala je hakove kao “jedan od najvećih obavještajnih kompromisa ikada viđenih”.
“Ta akcija je popraćena prijedlogom da se od provajdera komunikacijskih usluga zahtijeva da podnesu godišnju potvrdu FCC-u kojom potvrđuju da su kreirali, ažurirali i implementirali plan upravljanja rizikom cyber sigurnosti, koji bi ojačao komunikaciju od budućih cyber napada”, navodi FCC. .
Ranije ove sedmice, Jen Easterly, direktorica Agencije za cyber sigurnost i sigurnost infrastrukture (CISA), rekla je da “kineski sofisticirani cyber program sa dobrim resursima predstavlja najozbiljniju i najznačajniju cyber prijetnju našoj naciji, a posebno kritičnoj infrastrukturi SAD”.
Easterly je takođe otkrio da je Salt Typhoon prvi put otkriven na federalnim mrežama, mnogo prije nego što se grupa za cyber špijunažu uvukla u mreže AT&T, Lumen Technologies, T-Mobile, Verizon i drugih provajdera.
Oznake su samo posljednja u dugoj listi poteza koje je poduzelo Ministarstvo finansija u pokušaju da se bori protiv malicioznih cyber aktivnosti kineskih prijetnji. Agencija je ranije sankcionisala još tri kompanije, Integrity Technology Group ( Flax Typhoon ), Sichuan Silence Information Technology ( Pacific Rim ) i Wuhan Xiaoruizhi Science and Technology Company ( APT31 ).
Izvor:The Hacker News