„Nie mogę uwierzyć, że w 2024 roku będziemy świadkami luk w zabezpieczeniach związanych z wstrzykiwaniem poleceń w jakichkolwiek produktach, nie mówiąc już o bezpiecznym produkcie do zdalnego dostępu, który powinien przejść dodatkową weryfikację na potrzeby wykorzystania przez rząd USA” – mówi Jake Williams, wiceprezes ds. badań i rozwoju w firmie firma konsultingowa ds. cyberbezpieczeństwa Hunter Strategy i były haker NSA. „Na tym etapie są to jedne z najłatwiejszych błędów do zidentyfikowania i naprawienia”.
BeyondTrust jest akredytowanym dostawcą „Federalnego programu zarządzania ryzykiem i autoryzacją”, ale Williams spekuluje, że możliwe jest, że Departament Skarbu korzystał z wersji produktów chmurowych firmy w zakresie zdalnego wsparcia i uprzywilejowanego dostępu zdalnego, innej niż FedRAMP. Jeśli jednak naruszenie rzeczywiście dotknęło infrastrukturę chmurową z certyfikatem FedRAMP, mówi Williams, „może to być pierwsze naruszenie jednego z nich i prawie na pewno pierwszy przypadek wykorzystania narzędzi chmurowych FedRAMP w celu ułatwienia zdalnego dostępu do systemów klienta”.
Do naruszenia doszło, gdy urzędnicy amerykańscy usiłowali zająć się masową kampanią szpiegowską zagrażającą amerykańskim firmom telekomunikacyjnym, którą przypisuje się wspieranej przez Chiny grupie hakerskiej znanej jako Salt Typhoon. Urzędnicy Białego Domu powiedział reporterom w piątek Salt Typhoon włamał się do dziewięciu amerykańskich sieci telekomunikacyjnych.
„Nie zostawilibyśmy naszych domów, naszych biur bez odblokowania, a mimo to nasza infrastruktura krytyczna – prywatne firmy będące właścicielami i operatorami naszej infrastruktury krytycznej – często nie posiadają podstawowych praktyk w zakresie cyberbezpieczeństwa, które uczyniłyby naszą infrastrukturę bardziej ryzykowną, kosztowną i trudniejszą krajom i przestępcom do ataku” – powiedziała w piątek Anne Neuberger, zastępca doradcy ds. bezpieczeństwa narodowego ds. cyberbezpieczeństwa i nowych technologii.
Urzędnicy skarbu, CISA i FBI nie odpowiedzieli na pytania WIRED dotyczące tego, czy podmiotem, który naruszył skarb państwa, był właśnie Salt Typhoon. Urzędnicy skarbu oświadczyli w ujawnieniu informacji dla Kongresu, że przekażą więcej informacji na temat incydentu w obowiązkowym 30-dniowym raporcie Departamentu z powiadomieniem uzupełniającym. W miarę wychodzenia na światło dzienne szczegółów Williams z Hunter Strategy twierdzi, że skala i zakres naruszenia może być jeszcze większy, niż się obecnie wydaje.
„Spodziewam się, że wpływ będzie większy niż dostęp do zaledwie kilku jawnych dokumentów” – mówi.
