В этом месяце китайские хакеры, спонсируемые государством, взломали защитные ограждения компьютерной безопасности Министерства финансов США и украли документы, что Министерство финансов назвало «крупным инцидентом», согласно письму законодателям, которое должностные лица Министерства финансов предоставили агентству Reuters в понедельник.

Хакеры взломали стороннего поставщика услуг кибербезопасности BeyondTrust и смогли получить доступ к несекретным документам, говорится в письме.

Согласно письму, хакеры «получили доступ к ключу, используемому поставщиком для защиты облачного сервиса, используемого для удаленного предоставления технической поддержки конечным пользователям Министерских офисов (DO) Министерства финансов.

Имея доступ к украденному ключу, злоумышленник смог обойти систему безопасности сервиса, получить удаленный доступ к определенным рабочим станциям пользователей DO Министерства финансов и получить доступ к определенным несекретным документам, хранящимся у этих пользователей».

Министерство финансов сообщило, что получило уведомление о взломе от BeyondTrust 8 декабря и что оно работает с Агентством по кибербезопасности и безопасности инфраструктуры США и ФБР, чтобы оценить последствия взлома.

Представитель посольства Китая в Вашингтоне отверг любую ответственность за взлом, заявив, что Пекин «решительно выступает против клеветнических атак США на Китай без какой-либо фактической основы».

Представитель BeyondTrust, базирующейся в Джонс-Крик, штат Джорджия, сообщил Reuters в электронном письме, что компания «ранее выявила и приняла меры по устранению инцидента безопасности в начале декабря 2024 года», связанного с ее продуктом удаленной поддержки.

BeyondTrust «уведомила ограниченное число клиентов, которые были вовлечены», и правоохранительные органы были уведомлены, сказал представитель. «BeyondTrust поддерживает следственные усилия».

Представитель сослался на заявление, опубликованное на веб-сайте компании 8 декабря, в котором были представлены некоторые подробности расследования, в том числе информация о том, что в ходе инцидента был скомпрометирован цифровой ключ и что ведется расследование. Последнее обновление заявления состоялось 18 декабря.

Том Хегель, исследователь угроз в компании по кибербезопасности SentinelOne, сказал, что сообщенный инцидент безопасности «вписывается в хорошо документированную схему операций групп, связанных с КНР, с особым акцентом на злоупотреблении доверенными сторонними сервисами — метод, который становится все более заметным в последние годы», — сказал он, используя аббревиатуру Китайской Народной Республики.