TL; DR
- กระทรวงการคลังสหรัฐฯ ตกเป็นเป้าหมายในเดือนธันวาคม พ.ศ. 2024 จากการโจมตีทางไซเบอร์ ซึ่งเชื่อว่าเป็นกลุ่ม Advanced Persistent Threat (APT) ที่ได้รับการสนับสนุนจากรัฐบาลจีน
- แฮกเกอร์ใช้ประโยชน์จากช่องโหว่การใส่คำสั่ง (CVE-2024-12356 และ CVE-2024-12686) ในซอฟต์แวร์สนับสนุนระยะไกลของผู้จำหน่ายภายนอก BeyondTrust
- ผู้โจมตีได้รับสิทธิ์ในการเข้าถึงเวิร์กสเตชันของกระทรวงการคลังจากระยะไกลโดยไม่ได้รับอนุญาต และสามารถดึงเอกสารที่ไม่เป็นความลับออกมาได้
- ซอฟต์แวร์ของ BeyondTrust ทำหน้าที่เป็นจุดเริ่มต้น แต่ระบบกระทรวงการคลังเป็นจุดสนใจ
- เช่นเดียวกับจุดสิ้นสุดและคลาวด์ คุณจำเป็นต้องปกป้อง โครงสร้างพื้นฐานด้านข้อมูลประจำตัว. เพิ่มพูนของคุณ ความปลอดภัยของข้อมูลประจำตัว และป้องกันเหตุการณ์เช่นนี้ด้วยการจัดการการเข้าถึงตามความเสี่ยงและการรักษาความปลอดภัยการเข้าถึงที่มีสิทธิพิเศษที่ได้รับการปรับปรุง
***
ในเดือนธันวาคม 2024 กระทรวงการคลังของสหรัฐฯ ตกเป็นเหยื่อของการโจมตีทางไซเบอร์ที่ซับซ้อนซึ่งจัดทำโดยกลุ่ม APT ที่ได้รับการสนับสนุนจากรัฐบาลจีน กลุ่มเหล่านี้ขึ้นชื่อเรื่องการกำหนดเป้าหมายหน่วยงานของรัฐ โครงสร้างพื้นฐานที่สำคัญ และองค์กรภาคเอกชนเพื่อขโมยทรัพย์สินทางปัญญาและดำเนินการจารกรรมข้อมูล
จุดเข้า: ซอฟต์แวร์สนับสนุนระยะไกลที่มีความเสี่ยง
ผู้โจมตีใช้ประโยชน์จากช่องโหว่การแทรกคำสั่งสองรายการ (CVE-2024-12356 และ CVE-2024-12686) ในซอฟต์แวร์สนับสนุนระยะไกลของ BeyondTrust ซอฟต์แวร์นี้มักใช้สำหรับการเข้าถึงระยะไกลและการสนับสนุนด้านไอที ทำให้เป็นเป้าหมายที่มีมูลค่าสูง ผู้โจมตีใช้ช่องโหว่เหล่านี้เพื่อหลบเลี่ยง การรับรองดำเนินการคำสั่งที่ไม่ได้รับอนุญาตและควบคุมระบบที่เชื่อมต่อ แฮกเกอร์เข้าถึงเวิร์กสเตชันของกระทรวงการคลังโดยใช้คีย์ API ที่ขโมยมา ดึงเอกสารที่ไม่เป็นความลับ และอาจตรวจสอบส่วนอื่นๆ ของเครือข่าย
กลยุทธ์ชี้ไปที่กลุ่ม APT ที่ได้รับการสนับสนุนจากรัฐบาลจีน
การโจมตีครั้งนี้ถูกระบุว่าเป็นฝีมือของกลุ่ม APT ที่ได้รับการสนับสนุนจากรัฐบาลจีนซึ่งไม่ได้ระบุชื่อ แม้ว่าจีนจะปฏิเสธว่าไม่ได้มีส่วนเกี่ยวข้อง กลุ่ม APT ของจีนมีประวัติดังต่อไปนี้:
- การใช้ประโยชน์จากช่องโหว่ซอฟต์แวร์เพื่อการเข้าถึงอย่างต่อเนื่อง
- ดำเนินการรณรงค์จารกรรมต่อภาครัฐและภาคการป้องกันประเทศ
- โดยมุ่งเป้าไปที่ทรัพย์สินทางปัญญาจากอุตสาหกรรมต่างๆ เช่น เทคโนโลยีและพลังงาน
การละเมิดครั้งนี้สอดคล้องกับกลวิธีก่อนหน้านี้ที่กลุ่ม APT ที่ได้รับการสนับสนุนจากรัฐบาลจีนใช้เพื่อแสวงหาผลประโยชน์จากช่องโหว่ของบุคคลที่สามและใช้ประโยชน์จากช่องโหว่เหล่านี้เพื่อแทรกซึมเข้าไปในเครือข่ายที่กว้างขึ้น
ผลกระทบและบทเรียนที่ได้รับ
การละเมิดเกิดขึ้นเฉพาะในระบบของกระทรวงการคลังที่ไม่ได้รับการจัดประเภท โดยไม่มีหลักฐานของการเปิดเผยข้อมูลที่จัดประเภท อย่างไรก็ตาม การกระทำดังกล่าวเน้นย้ำถึงความสำคัญของการลด การโจมตีตัวตน นำเสนอกลยุทธ์การป้องกันเชิงลึกที่ควบคุมความปลอดภัยที่ผ่านการพิสูจน์แล้วทับซ้อนกับซอฟต์แวร์ของบริษัทอื่น เช่น MFA หรือระบบรักษาความปลอดภัยการเข้าถึงสิทธิพิเศษอัตโนมัติ ซึ่งจะช่วยให้คุณจัดการกับช่องโหว่ได้อย่างรวดเร็ว พร้อมทั้งวางแนวป้องกันหลายชั้นไว้รอบๆ การเข้าถึงสิทธิพิเศษและตัวตนของคุณ
หากคุณกำลังประเมินความเสี่ยงต่อการโจมตีนี้และกลยุทธ์ที่ทราบของกลุ่ม APT คุณสามารถทำได้ดังต่อไปนี้:
- การเปลี่ยนผ่านไปสู่การจัดการการเข้าถึงตามความเสี่ยงและการรักษาความปลอดภัยการเข้าถึงที่มีสิทธิพิเศษที่ได้รับการปรับปรุง (PAS)
- เพิ่มเลเยอร์ PAS ให้กับ PAM ของคุณ (สิทธิ์การเข้าถึงการจัดการ) ฝึกฝนจากผู้ขายที่แตกต่างกัน
- ดำเนินการประเมินความเสี่ยงเป็นประจำและแก้ไขความเสี่ยง/แก้ไขความต้องการในซอฟต์แวร์ของบริษัทอื่นอย่างรวดเร็วอยู่เสมอ
- นำสถาปัตยกรรมแบบ Zero Trust มาใช้และ MFA ได้ทุกที่.
- ตรวจสอบภัยคุกคามและสิ่งผิดปกติที่เกิดขึ้นรอบๆ ตัวตนที่มีสิทธิพิเศษอย่างต่อเนื่อง กล่าวอีกนัยหนึ่ง ตรวจสอบให้แน่ใจว่า SOC หรือ MDR ของคุณเพิ่มระดับความละเอียดอ่อนรอบๆ ตัวตนที่มีสิทธิพิเศษ และมีข้อมูลและการควบคุมทั้งหมดเพื่อหยุดการเข้ายึดครองอย่างรวดเร็ว
เหตุการณ์นี้ถือเป็นการเตือนใจที่สำคัญถึงความเสี่ยงที่เกิดจากช่องโหว่ของห่วงโซ่อุปทานและความจำเป็นในการใช้มาตรการเชิงรุกด้านความปลอดภัยทางไซเบอร์ ขอรับการสาธิต เพื่อค้นพบวิธีเพิ่มความปลอดภัยให้กับข้อมูลประจำตัวของคุณและป้องกันเหตุการณ์เช่นนี้