A Silk Typhoon, a kínai állami támogatású hacker csoport állítólag betört egy olyan amerikai Kincstári Hivatalba, amely a külföldi befektetéseket és nemzetbiztonsági kockázataikat ellenőrzi.
A CNN pénteki jelentése szerint, amely az ügyben jártas amerikai tisztviselőkre hivatkozik, a támadók hozzáfértek az Egyesült Államok Külföldi Befektetésekkel Foglalkozó Bizottságának (CFIUS) rendszereihez.
A CFIUS egy kormányzati hivatal és egy interkormányzati bizottság, amely felhatalmazást kapott külföldi befektetések és ingatlan tranzakciók átvilágítására, hogy megállapítsa azok hatását az amerikai nemzetbiztonságra.
Ugyanezek a támadók betörtek az Egyesült Államok Kincstárának másik hivatalába, a Külföldi Eszközök Ellenőrzésének Irodájába (OFAC), amely a kereskedelmi és gazdasági szankciókat alkalmazó programokat irányítja, és egy ellopott BeyondTrust Remote Support SaaS API kulcsot használtak a hivatal hálózatának feltörésére.
Ezt követően az amerikai tisztviselők felfedték, hogy a fenyegető szereplők kifejezetten az OFAC-ot célozták meg — amely a kereskedelmi és gazdasági szankciókat alkalmazza és hajtja végre —, és valószínűleg információkat kívántak gyűjteni a kínai egyénekről és szervezetekről, akiket az Egyesült Államok szankcionálhat.
Hétfőn a CISA azt mondta, hogy a Kincstári Hivatalba történt betörés nem érintette más szövetségi ügynökségeket, majd szerdán egy Bloomberg-hír jelent meg, amely a Silk Typhoon hacker csoportot tette felelőssé a támadásért.
A jelentés megerősítette az intelligencia lopására vonatkozó feltételezést, és elmondta, hogy az ügyben jártas személyek szerint a csoport vélhetően az ellopott BeyondTrust digitális kulcsot használta “nem titkosított információkhoz való hozzáféréshez, amelyek potenciális szankciós intézkedésekkel és egyéb dokumentumokkal kapcsolatosak.”
A Silk Typhoon (Hafnium) csoport a Kincstár Pénzügyi Kutató Irodáját is feltörte. Azonban ennek az incidensnek a hatását még értékelik, és a nyomozók még nem találtak bizonyítékot arra, hogy a kínai hackerek továbbra is hozzáfértek volna a Kincstári rendszerekhez, miután a feltört BeyondTrust példányt leállították.
Ez a kínai állami támogatású hacker csoport ismert a széleskörű amerikai, ausztrál, japán és vietnami szervezetek elleni támadásairól, beleértve a védelmi vállalkozókat, politikai think tankeket, nem kormányzati szervezeteket (NGO-kat), egészségügyi, jogi cégeket és felsőoktatási intézményeket.
A csoport kiberkémkedési kampányai elsősorban felderítésre és adatlopásra összpontosítanak, nulladik napi szoftver sebezhetőségeket és olyan hackertools-t használva, mint a China Chopper web shell.
A Silk Typhoon 2021 elején vált ismertté, miután kihasználta a ProxyLogon nulladik napi hibákat, amelyek a Microsoft Exchange Server-t érintették, és amelynek következtében körülbelül 68 500 szervert kompromittáltak, mielőtt a biztonsági javításokat kiadták volna.