Het Amerikaanse ministerie van Financiën is slachtoffer geworden van de aanval op securitybedrijf BeyondTrust, waarbij aanvallers via een gestolen API-key documenten van het ministerie konden stelen, zo heeft het in een brief aan beleidsmakers laten weten. BeyondTrust biedt Privileged Access Management (PAM) oplossingen en software voor remote support waar bijvoorbeeld helpdesks gebruik van kunnen maken.

Onlangs meldde BeyondTrust dat het op 2 december 'potentieel verdacht gedrag' in de Remote Support SaaS instance van een klant ontdekte. Op 5 december werd het verdachte gedrag bevestigd en bleken meer instances van klanten te zijn gecompromitteerd. Volgens het securitybedrijf was een API-key voor Remote Support SaaS gecompromitteerd. De key werd vervolgens ingetrokken en getroffen klanten gewaarschuwd.

Tijdens het onderzoek naar de aanval ontdekte BeyondTrust naar eigen zeggen twee kwetsbaarheden in zowel de zelf-gehoste als cloudversie van Remote Support en Privileged Remote Access. Vervolgens bracht het bedrijf updates uit. Klanten met een zelf-gehoste installatie moeten die zelf installeren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwde voor actief misbruik van één van deze kwetsbaarheden.

Verdere details over de aanval of misbruik van de kwetsbaarheid werden niet gegeven. Nu meldt het ministerie van Financiën dat een aanvaller toegang kreeg tot een key van BeyondTrust waarmee het securitybedrijf de clouddienst beveiligt, zo staat in een brief die TechCrunch deelde (pdf). Via deze dienst wordt technische ondersteuning geboden aan eindgebruikers van het ministerie.

Met de gestolen key kon de aanvaller de beveiliging van de clouddienst omzeilen en toegang tot werkstations van het ministerie krijgen en 'ongeclassificeerde documenten' die zich daarop bevonden. De gecompromitteerde BeyondTrust-dienst is offline gehaald. Volgens het ministerie is de aanval het werk van een door China gesteunde Advanced Persistent Threat (APT) actor.