美國財政部於去年12月初遭遇的重大網路安全事件,如今已被確認是由中國國家支持的駭客組織Silk Typhoon所為。根據Bloomberg最新報導,
這次攻擊特別鎖定負責執行貿易和經濟制裁的外國資產控制辦公室(OFAC)。
攻擊手法與過程
根據調查,攻擊者透過竊取遠端支援服務供應商BeyondTrust的API金鑰,成功入侵美國財政部使用的BeyondTrust系統。財政部在12月8日首次收到BeyondTrust的安全事件通知。
除了OFAC外,駭客還入侵了財政部的金融研究辦公室(Treasury's Office of Financial Research),目前相關影響仍在評估中。美國網路安全暨基礎設施安全局(CISA)表示,在受感染的BeyondTrust系統被關閉後,未發現駭客持續存取財政部系統的跡象,且此次事件並未影響其他聯邦機構。
相關文章:供應鏈安全事件!美國CISA 證實美財政部遭中國駭客入侵成功
目標與動機
知情人士透露,
Silk Typhoon此次行動的主要目標是收集情報,特別是了解美國可能考慮制裁的中國個人和組織資訊。駭客設法存取與潛在制裁行動相關的非機密資訊和其他文件。
Silk Typhoon(又稱Hafnium)是一個中國國家級駭客組織,過去曾針對美國、澳洲、日本和越南的多個目標發動攻擊,包括:國防承包商、政策智庫、非政府組織(NGOs)、醫療保健機構
法律事務所、高等教育機構。
該組織以資料竊取和偵查為主要目標,慣用零時差漏洞和China Chopper網頁後門等工具進行攻擊。該組織在2021年因利用Microsoft Exchange Server零時差漏洞(
統稱ProxyLogon)入侵約68,500台Exchange伺服器而廣為人知。
相關文章:Microsoft Exchange 遭到襲擊:我是否受到影響,下一步該怎麼做?
美國政府因應措施
針對這次事件,拜登政府正在制定行政命令,加強政府的網路安全防禦。新的行政命令將要求:
- 實施強大的身份驗證和加密措施
- 為雲端服務供應商制定新準則:強制使用多因素認證、採用複雜密碼、使用硬體安全金鑰存儲加密金鑰
這些措施反映出美國政府正在加強對抗日益嚴重的國家級網路威脅。
本文轉載自bleepingcomputer。