Menu dostępności

Kto i dlaczego zhakował Departament Skarbu USA?

Kto i dlaczego zhakował Departament Skarbu USA?

W zeszłym miesiącu amerykański Departament Skarbu (ang. U.S. Department of the Treasury) potwierdził, że w jego sieci informatycznej doszło do poważnego incydentu. Cyberprzestępcy, wspierani przez rząd któregoś z państw, zdołali naruszyć część Departamentu, która zajmuje się sankcjami handlowymi i gospodarczymi, znaną jako Biuro Kontroli Aktywów Zagranicznych (ang. OFAC). Hakerzy włamali się również do Biura Badań Finansowych (ang. OFR).

Atak został odkryty 8 grudnia, gdy hakerzy wykorzystali podatność w oprogramowaniu do zdalnego dostępu producenta Beyond Trust. Atakujący uzyskali dostęp do dużej liczby plików należących do Biura. Podobno próbowali zbierać informacje wywiadowcze na temat chińskich osobowości i podmiotów, które mają zostać objęte sankcjami rządu USA.

Warto przypomnieć, że ten sam departament został zaatakowany cztery lata temu – z powodzeniem. Wtedy nie zostały jednak publicznie przedstawione żadne szczegóły. Pisaliśmy o tym incydencie tutaj.

W liście wysłanym 30 grudnia do Senackiej Komisji Bankowej urzędnicy rządowi potwierdzili, że atak został zorganizowany przez przestępczą organizację hakerską typu Advanced Persistent Threat (APT). Aditi Hardikar, zastępczyni sekretarza ds. zarządzania w Departamencie Skarbu, potwierdziła, że ​​incydent dotknął agencję odpowiedzialną za drukowanie pieniędzy i wybijanie monet. W liście wyjaśniono również trzytygodniową przerwę między odkryciem włamania a powiadomieniem ustawodawców. Rząd USA wykorzystał ten czas na współpracę z organami ścigania, zdobycie informacji o skali incydentu i załatanie podatności w oprogramowaniu.

Obecnie nie wiadomo, ile danych hakerzy byli w stanie ukraść – dochodzenie prowadzone przez FBI i Departament Skarbu trwa. Mówi się, że naruszenie zostało załatane, a hakerzy utracili już swój dostęp. Chiny oczywiście zaprzeczyły udziałowi w ataku i nazwały zarzuty bezpodstawnymi, ale rząd USA otwarcie obwinia hakerów sponsorowanych przez państwo – w wyniku prostego dochodzenia udało się ustalić, że cyberprzestępcy szukali informacji związanych z Chinami oraz działali za pomocą skryptów napisanych w języku Państwa Środka.

W oświadczeniu wydanym 3 stycznia pełniący obowiązki podsekretarza skarbu ds. terroryzmu i wywiadu finansowego Bradley T. Smith poinformował, że rząd USA ciężko pracuje nad powstrzymaniem cyberataków i że zdecydował się nałożyć sankcje na pekińską firmę zajmującą się cyberbezpieczeństwem Integrity Technology Group, znaną również jako Integrity Tech. Sankcje nie wydają się związane z cyberatakiem, ale przedstawiają powód, dla którego skarb państwa został zhakowany.

Zgodnie z ostrzeżeniem wydanym przez wiele agencji rządowych, w tym NSA i FBI, objęta sankcjami firma zarządzała botnetem aktywnym od połowy 2021 r. i udzielała wsparcia organizacjom hakerskim, takim jak Flax Typhoon, stojącej za atakami na sektory infrastruktury krytycznej USA, agencje rządowe, organizacje medialne i uniwersytety. Zapewne nigdy nie poznamy konkretów, ponieważ są to polityczne zagrywki obydwu krajów, ale samo działanie rządu USA świadczy o tym, że jest on pewny, kto stoi za atakiem.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...