ABD medyası tarafından yayınlanan bir mektupta bir Hazine yetkilisi, 8 Aralık'ta üçüncü taraf bir yazılım hizmeti sağlayıcısı tarafından bir tehdit aktörünün belirli Hazine iş istasyonlarına ve sınıflandırılmamış belgelere uzaktan erişmek için çalıntı bir anahtar kullandığı konusunda bilgilendirildiğini söyledi.
ABD Hazinesi'nde yönetimden sorumlu sekreter yardımcısı Aditi Hardikar, mektupta "Mevcut göstergelere dayanarak, olay Çin devlet destekli bir Gelişmiş Kalıcı Tehdit (APT) aktörüne atfedildi" diye yazdı.
Bir Hazine sözcüsü yaptığı açıklamada, ele geçirilen hizmetin çevrimdışı hale getirildiğini ve yetkililerin kolluk kuvvetleri ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ile birlikte çalıştığını söyledi.
Hazine sözcüsü, "Tehdit aktörünün Hazine sistemlerine veya bilgilerine erişiminin devam ettiğini gösteren hiçbir kanıt yok" dedi.
Çin Dışişleri Bakanlığı sözcüsü Salı günü düzenlenen olağan basın brifinginde hackleme olayı sorulduğunda suçlamayı reddetti.
"Kanıttan yoksun bu tür asılsız suçlamalara ilişkin tutumumuzu defalarca ifade ettik. Çin her zaman her türlü siber saldırıya karşı çıkmıştır ve siyasi amaçlarla Çin hakkında yanlış bilgi yayılmasına daha da karşıyız" dedi.
Senato Bankacılık Komitesi liderliğine gönderilen mektuba göre, üçüncü taraf yazılım hizmeti sağlayıcısı BeyondTrust, bilgisayar korsanlarının Hazine'nin teknik destek için kullandığı bulut tabanlı bir hizmeti güvence altına almak için satıcı tarafından kullanılan bir anahtara erişim sağladığını söyledi.
Hazine mektubunda, "Çalınan anahtara erişimi olan tehdit aktörü, hizmetin güvenliğini geçersiz kıldı, belirli Hazine [Departman Ofisi] kullanıcı iş istasyonlarına uzaktan erişti ve bu kullanıcılar tarafından tutulan belirli sınıflandırılmamış belgelere erişti" denildi.
BeyondTrust, 2 Aralık'ta Uzaktan Destek ürünüyle ilgili bir güvenlik olayı tespit ettiğini ve şirketin 5 Aralık'ta üründe "anormal davranış" olduğunu doğrulamasının ardından olaya karışan "sınırlı sayıda" müşteriyi bilgilendirdiğini söyledi.
Olayla ilgili bilgileri 8 Aralık'ta web sitesinde yayınladı ve nedenini araştırma ve gelecekteki tehditleri azaltma konusundaki ilerlemesini güncelliyor. Şirket, ürünün etkilenen örneklerini askıya aldığını ve karantinaya aldığını ve araştırmak için dışarıdan bir siber güvenlik ekibi tuttuğunu söyledi.
Bir Beyond Trust sözcüsü "Başka hiçbir BeyondTrust ürünü söz konusu değildir" dedi. "Kolluk kuvvetleri bilgilendirildi ve BeyondTrust soruşturma çabalarını destekliyor."
Tam olarak kaç iş istasyonuna sızıldığı belli değil. Ancak Hazine sözcüsü yaptığı açıklamada "birkaç" Hazine kullanıcısının iş istasyonuna erişildiğini söyledi.
Hardikar mektupta, Hazine politikasına göre, gelişmiş kalıcı tehdit aktörlerine atfedilen izinsiz girişlerin "büyük bir siber güvenlik olayı" olarak kabul edildiğini söyledi. Hazine yetkililerinin 30 günlük bir ek raporda güncelleme yapmaları gerekmektedir.
Hazine'nin ihlalin neden olduğu zararın boyutunu tam olarak belirleyip belirlemediği belli değil.
Hardikar mektupta, "olayı tam olarak tanımlamak ve genel etkisini belirlemek" amacıyla Hazine'nin CISA, FBI, ABD istihbarat kurumları ve üçüncü taraf adli araştırmacılarla birlikte çalıştığını yazdı.
Mektupta, "Hazine'nin saldırıdan haberdar olmasının hemen ardından CISA devreye sokuldu ve saldırının kapsamı ortaya çıkar çıkmaz diğer yönetim organlarıyla temasa geçildi" denildi.
