“Saya tidak bisa percaya bahwa kami melihat kerentanan injeksi perintah pada tahun 2024 di produk apa pun, apalagi produk akses jarak jauh yang aman yang seharusnya telah melalui pemeriksaan tambahan untuk digunakan oleh pemerintah AS,” kata Jake Williams, wakil presiden riset dan pengembangan di konsultan keamanan cyber Hunter Strategy dan mantan peretas NSA. “Mereka adalah beberapa bug paling mudah untuk diidentifikasi dan diperbaiki pada saat ini.”
BeyondTrust adalah vendor yang terakreditasi “Program Manajemen Risiko dan Otorisasi Federal,” tetapi Williams berspekulasi bahwa mungkin saja Departemen Keuangan menggunakan versi perusahaan Remote Support and Privileged Remote Access yang bukan FedRAMP. Namun, jika pelanggaran tersebut benar-benar memengaruhi infrastruktur awan yang bersertifikat FedRAMP, Williams mengatakan, “ini mungkin menjadi pelanggaran pertama dan hampir pasti pertama kalinya alat awan FedRAMP disalahgunakan untuk memfasilitasi akses jarak jauh ke sistem pelanggan.”
Pelanggaran ini terjadi ketika pejabat AS sedang berusaha keras untuk mengatasi kampanye mata-mata massal yang mengompromikan telekomunikasi AS yang telah dikaitkan dengan kelompok peretas yang didukung oleh Tiongkok yang dikenal sebagai Typhoon Garam. Pejabat Gedung Putih memberitahu wartawan pada hari Jumat bahwa Typhoon Garam telah meretas sembilan operator telekomunikasi AS.
“Kita tidak akan meninggalkan rumah kita, kantor kita, terkunci dan namun infrastruktur kritis kita – perusahaan swasta yang memiliki dan mengoperasikan infrastruktur kritis kita – seringkali tidak memiliki praktik keamanan cyber dasar yang akan membuat infrastruktur kita lebih berisiko, lebih mahal, dan lebih sulit bagi negara dan penjahat untuk menyerang,” kata Anne Neuberger, penasihat keamanan nasional untuk cyber dan teknologi yang muncul, pada hari Jumat.
Pejabat Departemen Keuangan, CISA, dan FBI tidak merespons pertanyaan WIRED tentang apakah pelaku yang meretas Departemen Keuangan spesifik Typhoon Garam. Pejabat Departemen Keuangan mengatakan dalam pengungkapan kepada Kongres bahwa mereka akan memberikan informasi lebih lanjut tentang insiden tersebut dalam laporan pemberitahuan tambahan 30 hari yang diwajibkan oleh Departemen. Saat detail terus muncul, Williams dari Hunter Strategy mengatakan bahwa skala dan ruang lingkup pelanggaran mungkin lebih besar dari yang terlihat saat ini.
“Saya mengharapkan dampaknya lebih signifikan daripada hanya akses ke beberapa dokumen tidak terklasifikasi,” katanya.”