Check Point kommentiert Hacker-Angriff auf US-Finanzministerium

Beamte des US-Finanzministeriums klassifizierten Cyber-Attacke als „großen Vorfall“ („major incident“)

[datensicherheit.de, 04.01.2025] Die Check Point Software Technologies Ltd. geht in einer aktuellen Stellungnahme auf eine schwere Cyber-Attacke gegen das US-Finanzministerium (US Treasury) ein. US-Amerikanische Behörden haben demnach bekanntgegeben, dass mit China in Verbindung stehende Hacker Schwachstellen in der Remote-Support-Software von BeyondTrust ausgenutzt hätten, um Dokumente zu stehlen – Beamte des US-Finanzministeriums hätten in einem Schreiben diese Attacke als „großen Vorfall“ („major incident“) bezeichnet. Die Untersuchung sei noch im Gange, aber Check Point kann nach eigenen Angaben bereits jetzt einige wichtige Details, Erkenntnisse und Abhilfemaßnahmen auf der Grundlage der verfügbaren Fakten skizzieren. Diese Sicherheitsverletzung werfe außerdem ein Schlaglicht auf die zunehmende Häufigkeit von Cyber-Angriffen. Nach Erkenntnissen von Check Point Research (CPR) seien Organisationen in den USA im November 2024 durchschnittlich 1.345 Cyber-Angriffen pro Woche ausgesetzt gewesen. Regierungsbehörden gehörten zu den drei Branchen, welche am häufigsten das Ziel von Ransomware gewesen seien.

2 spezifische Schwachstellen bei Cyber-Angriff auf US Treasury ausgenutzt

Berichten zufolge seien bei diesem Angriff zwei spezifische Schwachstellen in der Remote-Support-Software von BeyondTrust ausgenutzt worden:

CVE-2024-12356 (CVSS 9.8)
Eine Kritische Sicherheitslücke in der „BeyondTrust Privileged Remote Access (PRA) und Remote Support (RS)“-Software, welche es Angreifern ermögliche, sich über nicht ordnungsgemäß validierte API-Endpunkte einen Zugang zu verschaffen.

CVE-2024-12686 (CVSS 6.6)
Ein zusätzlicher Fehler im Zusammenhang mit der Token-Verwaltung, den Angreifer zur Aufrechterhaltung der Persistenz nutzten.

Zugriff auf Arbeitsstationen und Dokumente in den Systemen des US-Finanzministeriums

„Es wird berichtet, dass die Angreifer einen digitalen Signierschlüssel für die Software erworben haben, der es ihnen ermöglichte, sich als legitime Benutzer mit privilegiertem Zugang auszugeben.“ Auf diese Weise hätten sie auf nicht als geheim klassifizierte Arbeitsstationen und Dokumente in den Systemen des US-Finanzministeriums zugreifen und sensible, aber nicht als geheim klassifizierte Daten kompromittieren können.

Organisationen überall auf der Welt, welche dieselbe Software einsetzen, seien dem Risiko ähnlicher oder noch schwerwiegenderer Sicherheitsverletzungen ausgesetzt.

Check Point empfiehlt, „sofort Maßnahmen zu ergreifen, um die relevanten Schwachstellen zu schließen und eine widerstandsfähige Cyber-Abwehr zu gewährleisten, um weitere Angriffe abzuwehren, wobei der Schwerpunkt auf der Prävention liegt“.

Lehren aus Cyber-Angriff auf US-Finanzministerium

Sicherheitsfachleute könnten sich auf das folgende Defense-in-Depth-Framework stützen, um kurzfristig einen Reaktionsplan für die BeyondTrust-Schwachstellen zu erstellen und gleichzeitig langfristig eine präventiv ausgerichtete, umfassende und effektive Cyber-Position aufzubauen:

Patch-Verwaltung und Behebung von Sicherheitslücken

• Umgehende Maßnahmen: Sicherstellen, dass jede Software und Tools von Drittanbietern regelmäßig aktualisiert werden. Auf Updates und Hinweise der Anbieter achten!
• Verwendung eines Systems zur Verwaltung von Sicherheitslücken, um Kritische CVEs zu identifizieren und zu priorisieren.
• Implementierung eines Programms zur Verwaltung externer Angriffssysteme (EASM), um relevante Schwachstellen zu priorisieren und zu beheben, bevor sie von Angreifern entdeckt werden.

Zero-Trust-Architektur

• Begrenzung der Vertrauensstufen für Software-Integrationen.
• Kontinuierliche Überprüfung von Benutzern und Geräten und Einschränkung des Zugriffs, auch nach der ersten Authentifizierung.
• Implementierung einer Multi-Faktor-Authentifizierung (MFA), auch von bekannten Geräten für interne und externe Anwendungen und Portale.

Privileged Access Management (PAM)

• Verwendung robuster PAM-Lösungen, um strenge Kontrollen für den Zugriff auf Kritische Systeme durchzusetzen.
• Häufiges Rotieren, Überwachen und Prüfen der Verwendung privilegierter Berechtigungsnachweise.

Sicherheit der Daten

• Verschlüsselung der Unternehmensdokumente, so dass die darin enthaltenen Daten nicht zugänglich sind, wenn sie kompromittiert werden oder durchsickern.

Sicherheit digitaler Zertifikate

• Schutz von Signierschlüsseln und anderem sensiblen kryptografischen Material sicherstellen.
• Implementierung von Hardware-Sicherheitsmodulen (HSMs) für die Schlüsselspeicherung, um Diebstahl oder Missbrauch zu verhindern.

Endpunkt-Erkennung und -Reaktion (EDR)

• Einsatz von EDR-Tools zur Überwachung ungewöhnlicher Aktivitäten auf Endgeräten.
• Untersuchung von und Reaktion auf Anomalien, insbesondere auf Systemen mit privilegierter Software.

Verhaltensanalyse und Bedrohungsanalyse

• Durchführung einer Bewertung des Security Information and Events Management-Security Operations Center (SIEM-SOC) zur Erkennung und Behebung von Risiken.
• Implementierung einer Verhaltensüberwachung, um ungewöhnliche API-Aufrufe oder unerwartetes Benutzerverhalten zu erkennen.
• Nutzen von Threat-Intelligence-Feeds, um sich über aktive Exploits zu informieren, die auf ähnliche Software zielen.

Sicherheit der Lieferkette

• Wahl eines Sicherheitsanbieters, der digitales Vertrauen und eine umgehende Reaktion auf schwerwiegende Schwachstellen (über Kritikalität 8,5) nachweisen kann.
• Durchführung regelmäßiger Sicherheitsbewertungen von Drittanbietern.
• Aufnahme von Klauseln in Anbieterverträge, die eine rechtzeitige Offenlegung von Schwachstellen vorschreiben, um die Gefahr der Dritten und Vierten Partei zu mindern.

Pläne für die Reaktion auf Zwischenfälle

• Führung eines umfassenden „Playbooks“ für die Reaktion auf Vorfälle, welches auf die mögliche Kompromittierung durch Dritte und die Anforderungen des Unternehmens zugeschnitten ist.
• Durchführung von „Tabletop“-Übungen zur Simulation von Angriffen auf „Tools“ von Drittanbietern.

Grundsätzlicher Rat nach Vorfall beim US-Finanzministerium

Der erste Schritt nach diesen Angriffen auf das US-Finanzministerium müsse nun darin bestehen, die spezifischen Schwachstellen zu beseitigen, welche den unbefugten Zugang zu den Systemen ermöglicht hätten.

In der Regel seien es jedoch nicht die sichtbaren Schwachstellen, sondern die bislang unbekannten, welche eine Attacke verschuldet hätten.

Durch eine Kombination aus vorausschauendem Schwachstellen-Management, einer Echtzeit-Überwachung und Defense-in-Depth-Strategie könnten Unternehmen die Risiken ähnlicher Angriffe aber kontinuierlich mindern.

Weitere Informationen zum Thema:

CHECK POINT, 31.12.2024
What You Need to Know about the US Treasury Breach – and How to Protect Your Organization from a “Major Incident”

BLEEPINGCOMPUTER, Lawrence Abrams, 30.12.204
US Treasury Department breached through remote support platform

CVE, 18.12.2024
CVE-2024-12686

CVE, 17.12.2024
CVE-2024-12356