Kto i dlaczego zhakował Departament Skarbu USA?

Atak został odkryty 8 grudnia, gdy hakerzy wykorzystali podatność w oprogramowaniu do zdalnego dostępu producenta Beyond Trust. Atakujący uzyskali dostęp do dużej liczby plików należących do Biura. Podobno próbowali zbierać informacje wywiadowcze na temat chińskich osobowości i podmiotów, które mają zostać objęte sankcjami rządu USA.

Warto przypomnieć, że ten sam departament został zaatakowany cztery lata temu – z powodzeniem. Wtedy nie zostały jednak publicznie przedstawione żadne szczegóły. Pisaliśmy o tym incydencie tutaj.

W liście wysłanym 30 grudnia do Senackiej Komisji Bankowej urzędnicy rządowi potwierdzili, że atak został zorganizowany przez przestępczą organizację hakerską typu Advanced Persistent Threat (APT). Aditi Hardikar, zastępczyni sekretarza ds. zarządzania w Departamencie Skarbu, potwierdziła, że ​​incydent dotknął agencję odpowiedzialną za drukowanie pieniędzy i wybijanie monet. W liście wyjaśniono również trzytygodniową przerwę między odkryciem włamania a powiadomieniem ustawodawców. Rząd USA wykorzystał ten czas na współpracę z organami ścigania, zdobycie informacji o skali incydentu i załatanie podatności w oprogramowaniu.

Obecnie nie wiadomo, ile danych hakerzy byli w stanie ukraść – dochodzenie prowadzone przez FBI i Departament Skarbu trwa. Mówi się, że naruszenie zostało załatane, a hakerzy utracili już swój dostęp. Chiny oczywiście zaprzeczyły udziałowi w ataku i nazwały zarzuty bezpodstawnymi, ale rząd USA otwarcie obwinia hakerów sponsorowanych przez państwo – w wyniku prostego dochodzenia udało się ustalić, że cyberprzestępcy szukali informacji związanych z Chinami oraz działali za pomocą skryptów napisanych w języku Państwa Środka.

W oświadczeniu wydanym 3 stycznia pełniący obowiązki podsekretarza skarbu ds. terroryzmu i wywiadu finansowego Bradley T. Smith poinformował, że rząd USA ciężko pracuje nad powstrzymaniem cyberataków i że zdecydował się nałożyć sankcje na pekińską firmę zajmującą się cyberbezpieczeństwem Integrity Technology Group, znaną również jako Integrity Tech. Sankcje nie wydają się związane z cyberatakiem, ale przedstawiają powód, dla którego skarb państwa został zhakowany.

Zgodnie z ostrzeżeniem wydanym przez wiele agencji rządowych, w tym NSA i FBI, objęta sankcjami firma zarządzała botnetem aktywnym od połowy 2021 r. i udzielała wsparcia organizacjom hakerskim, takim jak Flax Typhoon, stojącej za atakami na sektory infrastruktury krytycznej USA, agencje rządowe, organizacje medialne i uniwersytety. Zapewne nigdy nie poznamy konkretów, ponieważ są to polityczne zagrywki obydwu krajów, ale samo działanie rządu USA świadczy o tym, że jest on pewny, kto stoi za atakiem.