Американская компания BeyondTrust, специализирующаяся на управлении доступом, столкнулась с серьезной кибератакой, которая затронула 17 ее клиентов, использующих Remote Support SaaS. Инцидент произошел из-за скомпрометированного ключа API, полученного в результате эксплуатации уязвимости нулевого дня в стороннем приложении. В результате этого, злоумышленники получили несанкционированный доступ к инфраструктуре компании.
Злоумышленники не остановились на первоначальном проникновении. Используя украденный ключ API, они получили доступ к онлайн-активу в аккаунте BeyondTrust AWS. Затем, при помощи этого актива был получен еще один инфраструктурный ключ API, который уже был направлен против отдельного аккаунта AWS. Этот второй ключ позволил им сбрасывать локальные пароли приложений.
Компания BeyondTrust отреагировала на инцидент, отозвав скомпрометированный ключ, приостановив работу затронутых экземпляров и предоставив альтернативные решения Remote Support SaaS для своих клиентов. Однако, последствия атаки вышли далеко за рамки технических мер.
Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) добавило две уязвимости BeyondTrust – CVE-2024-12356 и CVE-2024-12686 – в свой каталог известных эксплуатируемых уязвимостей (KEV), подтверждая их активное использование в реальных атаках. В ходе расследования выяснилось, что инцидент был впервые зафиксирован 5 декабря 2024 года.
В рамках этого инцидента было установлено, что скомпрометированный ключ API использовался для несанкционированного доступа путем сброса паролей локальных приложений. Более того, расследование выявило не только эксплуатацию сторонней уязвимости, но и две собственные уязвимости в продуктах компании BeyondTrust – CVE-2024-12356 и CVE-2024-12686.
Следствие пришло к выводу, что за атакой стоит группировка Silk Typhoon, известная ранее как Hafnium, которая имеет связи с Китаем. Эта группировка известна своими целенаправленными атаками и использованием уязвимостей нулевого дня.
В свою очередь, правительство США ввело санкции против Инь Кечэна, киберпреступника из Шанхая, в связи с его предполагаемой причастностью к данной атаке. Санкции против Инь Кечэна стали частью более широких усилий по противодействию киберугрозам, исходящим из Китая.
Интересно, что среди пострадавших оказался Департамент офисов Министерства финансов США. Это подчеркивает, насколько серьезной была атака и как она повлияла на ключевые государственные структуры.
Ситуация с BeyondTrust демонстрирует уязвимость даже крупных компаний, предоставляющих услуги в сфере кибербезопасности. Атака через уязвимость нулевого дня в стороннем приложении и использование украденных ключей API, привела к серьезным последствиям, включая компрометацию критически важных инфраструктур и нарушение работы множества клиентов.
Данный инцидент также подчеркивает необходимость тщательной защиты всех элементов IT-инфраструктуры, включая сторонние компоненты и ключи API, а также необходимость своевременного реагирования на инциденты и принятия мер по восстановлению.
Злоумышленники не остановились на первоначальном проникновении. Используя украденный ключ API, они получили доступ к онлайн-активу в аккаунте BeyondTrust AWS. Затем, при помощи этого актива был получен еще один инфраструктурный ключ API, который уже был направлен против отдельного аккаунта AWS. Этот второй ключ позволил им сбрасывать локальные пароли приложений.
Компания BeyondTrust отреагировала на инцидент, отозвав скомпрометированный ключ, приостановив работу затронутых экземпляров и предоставив альтернативные решения Remote Support SaaS для своих клиентов. Однако, последствия атаки вышли далеко за рамки технических мер.
Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) добавило две уязвимости BeyondTrust – CVE-2024-12356 и CVE-2024-12686 – в свой каталог известных эксплуатируемых уязвимостей (KEV), подтверждая их активное использование в реальных атаках. В ходе расследования выяснилось, что инцидент был впервые зафиксирован 5 декабря 2024 года.
В рамках этого инцидента было установлено, что скомпрометированный ключ API использовался для несанкционированного доступа путем сброса паролей локальных приложений. Более того, расследование выявило не только эксплуатацию сторонней уязвимости, но и две собственные уязвимости в продуктах компании BeyondTrust – CVE-2024-12356 и CVE-2024-12686.
Следствие пришло к выводу, что за атакой стоит группировка Silk Typhoon, известная ранее как Hafnium, которая имеет связи с Китаем. Эта группировка известна своими целенаправленными атаками и использованием уязвимостей нулевого дня.
В свою очередь, правительство США ввело санкции против Инь Кечэна, киберпреступника из Шанхая, в связи с его предполагаемой причастностью к данной атаке. Санкции против Инь Кечэна стали частью более широких усилий по противодействию киберугрозам, исходящим из Китая.
Интересно, что среди пострадавших оказался Департамент офисов Министерства финансов США. Это подчеркивает, насколько серьезной была атака и как она повлияла на ключевые государственные структуры.
Ситуация с BeyondTrust демонстрирует уязвимость даже крупных компаний, предоставляющих услуги в сфере кибербезопасности. Атака через уязвимость нулевого дня в стороннем приложении и использование украденных ключей API, привела к серьезным последствиям, включая компрометацию критически важных инфраструктур и нарушение работы множества клиентов.
Данный инцидент также подчеркивает необходимость тщательной защиты всех элементов IT-инфраструктуры, включая сторонние компоненты и ключи API, а также необходимость своевременного реагирования на инциденты и принятия мер по восстановлению.
