根據美國財政部官員30日提供給路透的一封致國會議員的信件,中國政府支持的駭客本月入侵美國財政部的電腦安全防護系統,取得了政府員工的工作站存取權,並竊取部分文件,美國財政部稱此為「重大事件」。中國方面則否認參與駭客行動,駐美國大使館表示,北京堅決反對美方毫無事實依據的抹黑指控。
路透報導,財政部在一封致國會議員的信中指出,駭客攻破第三方網路安全服務供應商BeyondTrust的系統,並藉此取得未分類文件的存取權。據信中所述,駭客「獲得一個由供應商用於保護雲端服務的加密金鑰,而該服務是專門為財政部辦公室(DO)使用者提供遠端技術支援。透過金鑰,威脅者得以繞過該服務的安全防護,遠端存取特定財政部DO使用者的工作站,並進一步存取這些使用者保存的某些未分類文件。」
《紐約時報》報導,美國財政部初步推斷,「根據目前跡象,此事件被歸因於中國政府支持的『高階持續威脅』(Advanced Persistent Threat,APT)行動者。」信中提到。「根據財政部政策,凡可歸因於APT的入侵,均被視為重大網路安全事件。」
從美國財政部的初步說明尚不清楚駭客的具體目標為何。但據了解相關情報的高級官員表示,這次中方的行動似乎完全屬於間諜活動。
中國高層對美國財政部一向非常關注,因為該部門掌握著全球金融系統的敏感數據,包括對中國經濟狀況的評估。此外,財政部還負責執行針對中國企業的制裁,特別是那些近期支援俄羅斯參與烏克蘭戰爭的公司。
美國財政部表示,BeyondTrust於本月8日通知有此漏洞,並正與美國網路安全暨基礎設施安全局(CISA)及聯邦調查局(FBI)合作,評估此次駭客攻擊的影響。希望能以此降低此次駭客入侵的影響。據報導,遭入侵的工作站已下線,目前尚無證據顯示中國駭客還能存取美國財政部數據。
美國財政部未明確說明事件發生的具體時間,但表示,將在即將提交給國會的報告中披露更多細節。
中國駐美大使館發言人否認與此次駭客事件有關,並表示北京「堅決反對美國在無任何事實依據下,對中國的進行抹黑攻擊。」
BeyondTrust位於喬治亞州約翰溪市(Johns Creek),該公司發言人透過電郵告訴路透,該公司「於2024年12月初發現並採取措施,應對涉及其遠端支援產品的安全事件」。發言人指出,「已通知受影響的少數客戶,並告知執法部門。」此外,BeyondTrust正配合相關調查工作。
該發言人提及一份公司網站8日發布的聲明,其中分享一些調查細節,包括此次事件中數位金鑰被攻破的事實,以及調查正在進行中。該聲明最近於18日更新。
網路安全公司SentinelOne威脅研究員海格爾(Tom Hegel)表示,此次安全事件「符合中國相關組織一貫的行動模式,特別是利用受信任的第三方服務的弱點,這種方法近年來越發普遍。」他使用了「PRC」(中華人民共和國)的縮寫來指代中國。
