وزارة الخزانة الأمريكية تعترف بتعرضها للاختراق من قبل الصين
يقول جيك ويليامز، نائب رئيس البحث والتطوير في شركة “لا أستطيع أن أصدق أننا نشهد ثغرات أمنية في حقن الأوامر في عام 2024 في أي منتج، ناهيك عن منتج آمن للوصول عن بعد والذي من المفترض أن يخضع لفحص إضافي لاستخدامه من قبل حكومة الولايات المتحدة”. شركة استشارات الأمن السيبراني Hunter Strategy وهاكر سابق في وكالة الأمن القومي. “إنها من أسهل الأخطاء التي يمكن تحديدها ومعالجتها في هذه المرحلة.”
BeyondTrust هو بائع معتمد لبرنامج إدارة المخاطر والتفويضات الفيدرالية، لكن ويليامز يتوقع أنه من الممكن أن وزارة الخزانة كانت تستخدم إصدارًا غير تابع لـ FedRAMP من منتجات الشركة السحابية للدعم عن بعد والوصول المتميز عن بعد. إذا أثر الاختراق بالفعل على البنية التحتية السحابية المعتمدة من FedRAMP، يقول ويليامز، “قد يكون هذا هو الاختراق الأول لواحد ومن المؤكد تقريبًا المرة الأولى التي يتم فيها إساءة استخدام أدوات FedRAMP السحابية لتسهيل الوصول عن بعد إلى أنظمة العميل.”
ويأتي هذا الاختراق في الوقت الذي يسعى فيه المسؤولون الأمريكيون للتصدي لحملة تجسس ضخمة تهدد الاتصالات الأمريكية والتي نسبت إلى مجموعة القرصنة المدعومة من الصين والمعروفة باسم Salt Typhoon. وقال مسؤولون بالبيت الأبيض للصحفيين يوم الجمعة إن إعصار سولت تايفون اخترق تسع اتصالات أمريكية.
“لن نترك منازلنا ومكاتبنا مفتوحة، ومع ذلك فإن بنيتنا التحتية الحيوية – الشركات الخاصة التي تمتلك وتدير بنيتنا التحتية الحيوية – غالبًا لا تمتلك ممارسات الأمن السيبراني الأساسية المعمول بها والتي من شأنها أن تجعل بنيتنا التحتية أكثر خطورة وأكثر تكلفة وأصعب وقالت آن نويبرجر، نائبة مستشار الأمن القومي لشؤون الإنترنت والتكنولوجيا الناشئة، يوم الجمعة:
لم يرد مسؤولو وزارة الخزانة وCISA ومكتب التحقيقات الفيدرالي على أسئلة WIRED حول ما إذا كان الممثل الذي اخترق وزارة الخزانة هو Salt Typhoon على وجه التحديد. وقال مسؤولو الخزانة في الكشف أمام الكونجرس إنهم سيقدمون مزيدًا من المعلومات حول الحادث في تقرير الإخطار التكميلي الذي أصدرته الوزارة لمدة 30 يومًا. ومع استمرار ظهور التفاصيل، يقول ويليامز من شركة Hunter Strategy أن حجم ونطاق الاختراق قد يكون أكبر مما يبدو حاليًا.
ويقول: “أتوقع أن يكون التأثير أكثر أهمية من مجرد الوصول إلى عدد قليل من الوثائق غير السرية”.