综合美联社、法新社、路透社、NBC、CyberScoop新闻当地时间12月30日的报道,美国财政部确认其多个工作站遭遇网络攻击,攻击源被归咎于高级持续性威胁(APT)行为者。入侵通过第三方软件供应商BeyondTrust实施,该公司提供身份和访问管理服务。攻击者利用盗取的密钥突破云服务安全,远程访问了财政部多个用户工作站和非保密文件。财政部在接到BeyondTrust警告后,立即采取行动,与网络安全和基础设施安全局、联邦调查局及其他执法部门合作进行调查。BeyondTrust相关服务已下线,财政部表示没有证据显示攻击者仍能访问系统。该事件被归类为“重大事件”,影响评估仍在继续。
美国财政部当地时间周一(12月30日)表示,黑客在入侵第三方软件服务提供商后远程访问了美国财政部的多个工作站和非机密文件。
根据《联邦信息安全和现代化法案》,这些黑客攻击被归类为“重大事件”,该部门一直在与网络安全和基础设施安全局、联邦调查局、情报机构和第三方取证调查人员合作,以全面了解其影响。
该部门没有提供黑客入侵了多少个工作站或可能获取了哪些文件的详细信息,但它表示,“目前没有证据表明威胁者继续获取财政部信息。”它表示,此次黑客攻击正在作为“重大网络安全事件”进行调查。
“财政部非常重视针对我们系统及其所持有数据的所有威胁,”财政部发言人在另一份声明中表示。“过去四年来,财政部大大加强了网络防御,我们将继续与私营和公共部门合作伙伴合作,保护我们的金融系统免受威胁者的攻击。”
据路透社周一(12月30日)收到的一封致美国议员的信显示,本月早些时候,一名政府支持的黑客闯入了美国财政部,并从其工作站窃取了文件。
NBC则报道称,据
美国财政部管理事务助理部长阿迪蒂·哈迪卡称,该办公室于12月8日收到了有关此次泄密事件的通知。这封信的收件人分别是俄亥俄州民主党参议员谢罗德·布朗和共和党参议员蒂姆·斯科特,他们分别是银行、住房和城市事务委员会主席和资深成员。
该攻击者入侵了第三方网络安全服务提供商BeyondTrust。黑客得以访问工作站和一些非机密文件。
根据这封信,黑客“获得了供应商用来保护云服务的密钥,该服务用于远程为财政部门办公室(DO)最终用户提供技术支持。通过获得被盗密钥,威胁者能够超越该服务的安全性,远程访问某些财政部门办公室用户工作站,并访问这些用户维护的某些非机密文件。”
没有证据表明该实体可以继续访问该部门的系统。
在收到BeyondTrust的警告后,财政部联系了网络安全和基础设施安全局(Cisa),并正在与执法部门合作评估影响。美国财政部表示12月8日BeyondTrust向其报告了此次入侵事件,目前并正在与美国网络安全和基础设施安全局以及联邦调查局合作评估此次黑客攻击的影响。
美国联邦调查局没有立即回应路透社的置评请求,而CISA则将问题转回财政部。
BeyondTrust 没有立即回复寻求评论的消息,但该公司在其网站上表示,最近发现了一起安全事件,涉及其远程支持软件的少数客户。声明称,事件中数字密钥被泄露,调查正在进行中。
关于BeyondTrust公司
BeyondTrust是一家专注于提供身份和访问管理(IAM)以及特权访问管理(PAM)解决方案的全球领先安全技术公司。成立于1985年,总部位于美国亚利桑那州,其产品和服务旨在帮助企业保护敏感数据、优化IT系统的安全性并减少网络风险。BeyondTrust提供一系列软件工具,主要用于控制和管理系统中的特权账户、终端设备、服务器、网络和云环境的访问权限,以防止未经授权的访问、数据泄露和网络攻击。
