2024年美國財政部黑客入侵

背景

美國政府長期以來指控中華人民共和國當局以其國家力量支緩黑客進行高級長期威脅網絡間諜活動^[1]。2024年7月，中國黑客成功入侵至少9家美國電信公司，鹽颱風甚至獲得幾乎完整的美國司法部電話監聽號碼清單。此外，這些黑客還曾入侵過美國商務部和美國國務院官員的電子郵件帳戶，包括美國商務部長吉娜·雷蒙多^[2]。

12月2日，美國財政部使用的特權管理公司BeyondTrust遭受網絡入侵，影響其部分使用遠程支緩軟件的客戶^[3]。調查顯示，黑客利用被盜的SaaS API密鑰進行帳戶密碼重置操作^[4]。雖然還發現兩個未被利用的命令注入漏洞，但這些並未構成威脅^[5]^[6]^[7]。作為FedRAMP認證供應商，若此事件涉及經認證的財政部軟件，將成為此類首例入侵^[8]。

發現

12月2日，財政部的服務器活動出現異常，隨後BeyondTrust三天後確認遭到黑客入侵^[9]。12月8日，BeyondTrust通知財政部，黑客獲取用於遠程技術支持雲端服務的API密鑰^[10]^[11]。發現入侵後，相關密鑰被撤銷，受影響服務被關閉^[12]。黑客期間曾訪問未分類文件、工作站並破壞服務器的安全機制^[13]。多台工作站已被黑客入侵^[14]。為應對此事，財政部緊急聯繫網絡安全和基礎設施安全局^[15]、聯邦調查局以及其他相關機構和第三方專家進行調查^[2]。該服務已被徹底下線，黑客的訪問權限據信已被移除^[16]。

12月30日，財政部助理部長阿迪蒂·哈迪卡^[17]向美國參議院銀行、住房與城市事務委員會主席謝羅德·布朗和成員蒂姆·斯科特報告此次事件^[18]。《法新社》首次披露報告的內容^[15]。此次入侵被定性為「重大網絡安全事件」，原因是攻擊來自高級持續性威脅組織^[2]；其他政府機構調查後確認，這次黑客行動源自中國^[19]。《紐約時報》指出，這次入侵是中國情報機構為進行間諜活動而發起，與破壞基礎設施的行動無關^[2]。財政部被要求在30天內提交補充報告給國會^[9]^[14]。