Der Cyberangriff auf das Finanzministerium: Wichtige Erkenntnisse zum Hack der Remote-Support-Software von BeyondTrust 

Inhaltsverzeichnis

Diesen Beitrag teilen:

TL; DR 

  • Das US-Finanzministerium war im Dezember 2024 Ziel eines Cyberangriffs, der einer vom chinesischen Staat gesponserten Advanced Persistent Threat (APT)-Gruppe zugeschrieben wurde. 
  • Hacker nutzten Befehlsinjektionsschwachstellen (CVE-2024-12356 und CVE-2024-12686) in der Remote-Support-Software des Drittanbieters BeyondTrust aus. 
  • Angreifer verschafften sich unbefugten Fernzugriff auf die Arbeitsstationen des Finanzministeriums und riefen nicht klassifizierte Dokumente ab. 
  • Die Software von BeyondTrust diente als Einstiegspunkt, der Schwerpunkt lag jedoch auf den Treasury-Systemen. 
  • Genau wie Endpunkt und Cloud müssen Sie Ihre IdentitätsinfrastrukturErweitern Sie Ihre Identity-Security-Lücken und verhindern Sie derartige Vorfälle mit risikobasiertem Zugriffsmanagement und verbesserter Sicherheit für privilegierte Zugriffe. 

***

Im Dezember 2024 fiel das US-Finanzministerium einem ausgeklügelten Cyberangriff zum Opfer, der von einer vom chinesischen Staat gesponserten APT-Gruppe orchestriert wurde. Diese Gruppen sind dafür bekannt, dass sie gezielt staatliche Stellen, kritische Infrastrukturen und Organisationen des privaten Sektors angreifen, um geistiges Eigentum zu stehlen und Spionage zu betreiben. 

Einstiegspunkt: Anfällige Remote-Support-Software 

Die Angreifer nutzten zwei Command-Injection-Schwachstellen (CVE-2024-12356 und CVE-2024-12686) in der Remote-Support-Software von BeyondTrust aus. Diese Software wird häufig für Fernzugriff und IT-Support verwendet und ist daher ein wertvolles Ziel. Die Angreifer nutzten die Schwachstellen, um AD-Authentifizierung, nicht autorisierte Befehle ausführen und Kontrolle über verbundene Systeme erlangen. Mithilfe eines gestohlenen API-Schlüssels griffen die Hacker auf Arbeitsstationen des Finanzministeriums zu, riefen nicht klassifizierte Dokumente ab und untersuchten möglicherweise andere Teile des Netzwerks. 

Taktiken deuten auf eine vom chinesischen Staat gesponserte APT-Gruppe hin 

Der Angriff wird einer namentlich nicht genannten, vom chinesischen Staat gesponserten APT-Gruppe zugeschrieben, obwohl China eine Beteiligung bestreitet. Chinesische APT-Gruppen haben in der Vergangenheit Folgendes getan: 

  • Ausnutzung von Software-Schwachstellen für dauerhaften Zugriff 
  • Durchführung von Spionagekampagnen gegen den Regierungs- und Verteidigungssektor  
  • Ziel ist geistiges Eigentum aus Branchen wie Technologie und Energie. 

Dieser Verstoß steht im Einklang mit früheren Taktiken der vom chinesischen Staat gesponserten APT-Gruppen, die Schwachstellen Dritter ausnutzen und für eine umfassendere Infiltration der Netzwerke nutzen. 

Auswirkungen und gewonnene Erkenntnisse 

Der Verstoß beschränkte sich auf nicht klassifizierte Treasury-Systeme, und es gab keine Hinweise auf die Offenlegung vertraulicher Daten. Dies unterstreicht jedoch die Bedeutung der Reduzierung Ihrer Identitätsangriff Surface mit einer Defense-in-Depth-Strategie, die bewährte Sicherheitskontrollen über Drittanbietersoftware legt, beispielsweise MFA oder automatisierte privilegierte Zugriffssicherheit. So können Sie Schwachstellen schnell beheben und gleichzeitig mehrere Verteidigungslinien um Ihren privilegierten Zugriff und Ihre Identitäten herum einrichten.  

Wenn Sie Ihre Anfälligkeit für diesen Angriff und die bekannten Taktiken der APT-Gruppe einschätzen, können Sie Folgendes tun:  

  • Übergang zu risikobasiertem Zugriffsmanagement und verbesserter privilegierter Zugriffssicherheit (PAS). 
  • Führen Sie regelmäßig Schwachstellenanalysen durch und beheben Sie Schwachstellen bzw. Anforderungen in Drittanbietersoftware stets umgehend. 
  • Implementieren Sie eine Zero-Trust-Architektur und MFA
  • Achten Sie kontinuierlich auf Bedrohungen und Anomalien im Zusammenhang mit privilegierten Identitäten. Stellen Sie mit anderen Worten sicher, dass Ihr SOC oder MDR die Sensibilitätsstufe im Zusammenhang mit privilegierten Identitäten erhöht und über alle Daten und Kontrollen verfügt, um Übernahmen schnell zu verhindern.  

Dieser Vorfall ist eindringliches Beispiel dafür, welche Risiken Schwachstellen in der Lieferkette bergen und wie wichtig proaktive Maßnahmen zur Cybersicherheit sind. Demo anfordern um herauszufinden, wie Sie Ihre Identitätssicherheit erhöhen und solche Vorfälle verhindern können. 

Wir haben Identity Security auf ein neues Level gehoben.

Entdecken Sie, was möglich ist.

Vereinbaren Sie eine Demo und erleben Sie die Silverfort Identity-Security-Plattform in Aktion.

Demo anfragen