Jake Williams, wiceprezes ds. badań i rozwoju, mówi: „Nie mogę uwierzyć, że w 2024 r. widzimy luki w zabezpieczeniach polegające na wstrzykiwaniu poleceń w jakimkolwiek produkcie, nie mówiąc już o bezpiecznym produkcie do zdalnego dostępu, który został zatwierdzony do użytku przez rząd USA być dodatkowym dochodzeniem.” Konsultant ds. cyberbezpieczeństwa Hunter Strategy i były haker NSA. „To jedne z najłatwiejszych w tym momencie błędów do zidentyfikowania i naprawienia”.
BeyondTrust jest akredytowanym dostawcą „Federalnego programu zarządzania ryzykiem i autoryzacją”, ale Williams spekuluje, że możliwe było, że Departament Skarbu korzystał z wersji chmurowej usług zdalnego wsparcia i uprzywilejowanego dostępu zdalnego, innej niż FedRAMP. Williams twierdzi, że jeśli naruszenie rzeczywiście miało wpływ na infrastrukturę chmurową z certyfikatem FedRAMP, „może to być pierwsze naruszenie i prawie na pewno pierwszy przypadek niewłaściwego wykorzystania narzędzi chmurowych FedRAMP w celu ułatwienia zdalnego dostępu do systemu klienta”.
Do naruszenia doszło, gdy urzędnicy amerykańscy usiłowali uporać się z masową kampanią szpiegowską, która naraziła na szwank amerykańskie firmy telekomunikacyjne, a którą przypisuje się wspieranej przez Chiny grupie hakerskiej znanej jako Salt Typhoon. Urzędnicy Białego Domu powiedział reporterom W piątek tajfun Salt uszkodził dziewięć amerykańskich operatorów telekomunikacyjnych.
„Nie zostawilibyśmy naszych domów, naszych biur otwartych, a jednak nasza infrastruktura krytyczna – prywatne firmy, które są właścicielami i operatorami naszej infrastruktury krytycznej – często nie posiadają podstawowych praktyk w zakresie cyberbezpieczeństwa, które sprawiają, że nasza infrastruktura jest ryzykowna, kosztowna i będzie to utrudniać. Atakować kraje i przestępców” – powiedziała w piątek Anne Neuberger, zastępca doradcy ds. bezpieczeństwa narodowego ds. cyberbezpieczeństwa i nowych technologii.
Urzędnicy skarbu, CISA i FBI nie odpowiedzieli na pytania WIRED dotyczące tego, czy podmiotem odpowiedzialnym za naruszenie przepisów skarbowych był konkretnie Salt Typhoon. W ujawnieniu informacji przekazanym Kongresowi urzędnicy skarbu oświadczyli, że przekażą więcej informacji na temat zdarzenia w obowiązkowym 30-dniowym raporcie uzupełniającym departamentu. W miarę wychodzenia na jaw kolejne szczegóły Williams z Hunter Strategy twierdzi, że skala i zakres naruszenia może być jeszcze większy, niż obecnie widać.
„Mam nadzieję, że wpływ będzie większy niż tylko dostęp do niektórych odtajnionych dokumentów” – mówi.
