كبرى ترعاها الدولة الحادث السيبراني يبدو أن الهجوم الذي استهدف وزارة الخزانة الأمريكية في الأسابيع التي سبقت عيد الميلاد عام 2024 قد بدأ نتيجة لتسوية مع مورد دعم فني تابع لجهة خارجية، وهو بمثابة تحذير بشأن الأمن غير المستقر والطبيعة الضعيفة لسلاسل توريد التكنولوجيا. لشركات تكنولوجيا المعلومات وعملائها على حد سواء.
يُزعم أن الهجوم السيبراني كان من عمل جهة فاعلة للتهديد المتقدم المستمر (APT) مدعومة من الصين لم يتم الكشف عنها، ووفقًا لـ واشنطن بوست، واستهدفت من بين أمور أخرى مكتب مراقبة الأصول الأجنبية (OFAC)، وهي إدارة تابعة للخزانة تقوم بإدارة وتنفيذ العقوبات الأجنبية ضد الأفراد والمنظمات والدول.
نظرًا لتورطها في العقوبات وإجراءات الإنفاذ ضد الجهات الفاعلة السيبرانية الخبيثة – فقد لعبت دورًا رئيسيًا في العمليات المتعددة الجنسيات ضد عصابات برامج الفدية ذات الدوافع المالية – يمثل مكتب مراقبة الأصول الأجنبية هدفًا واضحًا للغاية للجهات الفاعلة في مجال التهديد.
في رسالة إلى أعضاء مجلس الشيوخ شيرود براون وتيم سكوت، عضوي لجنة الشؤون المصرفية والإسكان والشؤون الحضرية – تمت مراجعة نسخة منها من قبل الكمبيوتر الأسبوعية – أكدت مساعدة وزير الخزانة لشؤون الإدارة، أديتي هارديكار، أن الوزارة قد تم إخطارها من قبل مزود خدمات برمجيات تابع لجهة خارجية بأنه قد تم اختراقها في 8 ديسمبر 2024.
المنظمة المعنية، بيوند تراستوقال إن APT تمكنت من الوصول إلى المفتاح الذي كانت تستخدمه لتأمين خدمة الدعم الفني عن بعد المستندة إلى السحابة.
كتب هارديكار: “من خلال الوصول إلى المفتاح المسروق، تمكن ممثل التهديد من تجاوز أمان الخدمة، والوصول عن بعد إلى بعض محطات عمل مستخدمي وزارة الخزانة، والوصول إلى بعض المستندات غير السرية التي يحتفظ بها هؤلاء المستخدمون”.
“تعمل وزارة الخزانة مع وكالة الأمن السيبراني وأمن البنية التحتية (CISA)، ومكتب التحقيقات الفيدرالي (FBI)، ومجتمع الاستخبارات، ومحققي الطب الشرعي من الأطراف الثالثة لتوصيف الحادث بشكل كامل وتحديد تأثيره العام.
“استنادًا إلى المؤشرات المتاحة، يُنسب الحادث إلى جهة فاعلة تابعة لـ APT ترعاها الدولة في الصين. كتب هارديكار: “تم إيقاف خدمة BeyondTrust المخترقة عن العمل، وفي الوقت الحالي لا يوجد دليل يشير إلى استمرار جهة التهديد في الوصول إلى معلومات الخزانة”.
السلطات الصينية ونفى مزاعم الأمريكيينووصفها متحدث باسم سفارة بكين في واشنطن العاصمة بأنها “غير عقلانية” وجزء من “حملة تشهير”.
نقاط الضعف BeyondTrust
شركة التكنولوجيا التي كانت محور الحادثة، BeyondTrust، هي شركة توريد مقرها الولايات المتحدة وتعود جذورها إلى منتصف الثمانينات. وهي متخصصة في إدارة الهوية المميزة و إدارة الوصول المميز (PIM/PAM)، وخدمات الوصول عن بعد وإدارة الثغرات الأمنية. وتدعي أن لديها أكثر من 20 ألف عميل في 100 دولة، بما في ذلك أمثال شركات التكنولوجيا مثل Axians وServiceNow.
وهو أيضًا خاص المستخدمة بشكل جيد في القطاع العام، مع العديد من العملاء في الحكومة المحلية والرعاية الصحية والمرافق، بما في ذلك عدد من هيئات NHS في المملكة المتحدة.
في بيان نشرته على موقعها على الانترنتقالت BeyondTrust إنها حددت حادثة أثرت على “عدد محدود” من عملاء SaaS للدعم عن بعد والتي نشأت من خلال اختراق مفتاح واجهة برمجة التطبيقات (API). لقد ألغت المفتاح فور الانتهاء من تحليل السبب الجذري لمشكلة تقنية SaaS للدعم عن بعد في 5 ديسمبر 2024، وبدأت في إخطار المستخدمين المتأثرين، بما في ذلك الخزانة.
وقد حددت منذ ذلك الحين اثنتين من نقاط الضعف المحددة ضمن خطوط إنتاج الدعم عن بعد والوصول البعيد المميز – واحدة خطيرة للغاية والأخرى متوسطة الخطورة. وقد تم تعيين هذه التسميات CVE-2024-12356 و CVE-2024-12686 على التوالى. تم تصحيح كلاهما لكل من الإصدارات المستضافة على السحابة والإصدارات المحلية اعتبارًا من 18 ديسمبر 2024.
وفقًا لـ BeyondTrust، فإن القضيتين هما ثغرات أمنية في حقن الأوامر، والتي، تم استغلالها بنجاح، تمكن مهاجمًا عن بعد غير مصادق عليه من تنفيذ أوامر نظام التشغيل في سياق مستخدم الموقع.
وقال متحدث باسم BeyondTrust الكمبيوتر الأسبوعية: “لقد حددت BeyondTrust سابقًا حادثًا أمنيًا واتخذت التدابير اللازمة لمعالجةه في أوائل ديسمبر 2024 والذي شمل منتج الدعم عن بُعد. أبلغت BeyondTrust العدد المحدود من العملاء المشاركين، وهي تعمل على دعم هؤلاء العملاء منذ ذلك الحين. لم يتم تضمين أي منتجات BeyondTrust أخرى. تم إخطار سلطات إنفاذ القانون وتقوم شركة BeyondTrust بدعم جهود التحقيق.
لا تزال سلسلة التوريد الأمنية مشكلة كبيرة في عام 2025
وبهذا الحادث، أصبحت BeyondTrust للأسف الأحدث في سلسلة طويلة من المتخصصين في الأمن السيبراني الذين يجدون أنفسهم يتصدرون عناوين الأخبار بعد اختراق المنتجات والحلول المصممة للحفاظ على سلامة المستخدمين النهائيين.
أفيشاي أفيفي، كبير مسؤولي تكنولوجيا المعلومات في اختراق آمن، أحد موردي أدوات محاكاة الاختراق والهجوم، شرح كيفية حدوث الاختراق على الأرجح. وقال: “من الغريب أن BeyondTrust توفر طريقة آمنة لموظفي دعم تكنولوجيا المعلومات لتقديم الدعم عن بعد للمستخدمين النهائيين”. “تتضمن هذه الطريقة إنشاء اتصال موثوق به بين شخص الدعم والمستخدم النهائي.
“يخترق هذا الاتصال الموثوق به عناصر التحكم الأمنية المحيطة التقليدية ويمنح موظف الدعم إمكانية الوصول والتحكم الكاملين في محطة عمل المستخدم النهائي. بمجرد الدخول، يمكن للشخص الداعم إرسال المستندات مرة أخرى عبر تلك القناة الآمنة أو التنكر كمستخدم نهائي وإرسال نفس المستندات مباشرة.
“إن الضوابط الأمنية التي تحمي شبكة وزارة الخزانة الأمريكية ليس لديها وسيلة لمعرفة حدوث شيء شائن، لأن الاتصال الموثوق به موثوق به.
هل كان بوسع وزارة الخزانة الأميركية أن تفعل شيئاً لمنع ذلك؟ يبدو أن الإجابة المحزنة هي نعم. مرة أخرى، وبالإشارة إلى المعلومات الفنية التي قدمتها BeyondTrust، فشل مسؤولو النظام في وزارة الخزانة الأمريكية، أو البائع الذي من المحتمل أن يقدم خدمات الدعم، في تكوين مواقع موثوقة يمكن لوكلاء الدعم الاتصال منها. ونحن نشير إلى هذا باسم القائمة البيضاء للملكية الفكرية [allowlisting].
“يشكل هذا الفشل خطرًا كبيرًا في أي خدمة من هذا القبيل [and] وأدت نفس المشكلة إلى انتهاكات ملحوظة في عامي 2023 و2024. وهذا الإشراف هو السبب وراء حثنا جميع موردي الخدمات، وخاصة بائعي تكنولوجيا المعلومات والاتصالات الموثوق بهم، على اتباع CISA آمن افتراضيًا إرشاد.”
