- Das US-Finanzministerium erlitt einen Sicherheitsvorfall, der auf eine von China unterstützte APT-Gruppe zurückgeführt wird. Hacker nutzten Schwachstellen in von BeyondTrust bereitgestellter Fernwartungssoftware aus, um auf Rechner des Ministeriums zuzugreifen. Der gestohlene Authentifizierungsschlüssel erlaubte es den Angreifern, die Systemabwehr zu umgehen. Das betroffene System von BeyondTrust wurde deaktiviert, und es gibt bisher keine Hinweise auf fortdauernden Zugriff auf sensible Daten. Das Finanzministerium kooperiert eng mit FBI, CISA und der Geheimdienstgemeinschaft zur Aufklärung des Vorfalls.
Eine aktuelle Offenlegung gegenüber dem Kongress der Vereinigten Staaten brachte ans Licht, dass das US-Finanzministerium Anfang des Monats von einem Sicherheitsvorfall betroffen war. Hacker erhielten dabei entfernten Zugriff auf bestimmte Rechner des Ministeriums und unerhebliche, nicht klassifizierte Dokumente. Die Angreifer nutzten Schwachstellen in einer Fernwartungssoftware, die von der Firma BeyondTrust zur Verfügung gestellt wird. In einem Schreiben an die Abgeordneten machte das Finanzministerium deutlich, dass der Vorfall einer von China unterstützten APT-Gruppe (Advanced Persistent Threat) zugeschrieben wird.
Tiefe Kooperation zur Aufklärung
Am 8. Dezember informierte BeyondTrust die Behörde über den Vorfall, nachdem die Angreifer es geschafft hatten, einen Authentifizierungsschlüssel zu stehlen. Dieser Schlüssel wurde verwendet, um die Systemabwehr zu umgehen und auf Arbeitsstationen des Ministeriums zuzugreifen. Das betroffene BeyondTrust-System wurde deaktiviert, und es gibt derzeit keine Hinweise darauf, dass die Angreifer weiterhin Zugriff auf sensible Daten haben. Aditi Hardikar, die für Management zuständige Unterstaatssekretärin des Finanzministeriums, betonte in ihrem Schreiben, dass Vorfälle mit APT-Hintergrund als bedeutende Cybersicherheitsvorfälle behandelt werden. Zur Untersuchung des Falls kooperiert das Ministerium eng mit dem FBI, der Cybersecurity and Infrastructure Security Agency (CISA) sowie der Geheimdienstgemeinschaft.
Schwachstellen und Folgen
BeyondTrust hat ebenfalls erklärt, dass es sich um einen Sicherheitsvorfall handelt, der eine limitierte Anzahl von SaaS-Kunden betrifft. Obwohl in der Mitteilung nicht explizit das US-Finanzministerium erwähnt wird, passen die zeitlichen Abläufe und Details zur Offenlegung des Ministeriums. Zu den ausgenutzten Schwachstellen gehören eine kritische Schwachstelle bei der Befehlsausführung und eine mittlere Schwachstelle bei der Befehlsausführung. Jake Williams, Vizepräsident der Forschung bei der Cybersicherheitsberatung Hunter Strategy, drückte seine Verwunderung darüber aus, dass solche Schwachstellen in einem Jahr wie 2024 noch bestehen können, zumal sie relativ einfach zu identifizieren und zu beheben sind.
Herausforderungen für Cybersecurity
Die Offenlegung erfolgt in einer Zeit, in der US-Behörden vermehrt Kompromisse bei Telekommunikationsanbietern gemeldet haben, denen ebenfalls chinesische Hackergruppen zugeschrieben werden. Anne Neuberger, stellvertretende nationale Sicherheitsberaterin für Cyber- und aufkommende Technologien, äußerte sich besorgt über die unzureichende Cybersicherheit bei wichtigen Infrastrukturen. Das Finanzministerium arbeitet weiterhin daran, den Vorfall umfassend zu untersuchen und plant eine ausführliche Berichterstattung im monatlichen Zusatzbericht. Experten befürchten, dass die Auswirkungen des Vorfalls größer sein könnten als bisher angenommen.
