הסוכנות לאבטחת סייבר ותשתיות בארה"ב – CISA, אינה שוללת את האפשרות כי מידע ממתקנים כימיים נגנב במהלך מתקפת סייבר שהתרחשה בינואר נגד מערכות מחשוב של הסוכנות. כך נמסר בהודעה של CISA אשר הודיעה על דלף מידע אפשרי של כ- 100,000 אנשים. בעוד שהחקירה של CISA לא מצאה עדות מוחשית לגניבת מידע, ייתכן שפריצת הסייבר גרמה לגישה בלתי מורשית למידע אחר.
פריצת הסייבר הייתה קשורה לפגיעויות יום אפס ב- VPNs גישה מרחוק של Ivanti, בהם השתמשה CISA בזמן מתקפת הסייבר. ההאקרים החלו לנצל את נקודות התורפה בתחילת דצמבר ו- Ivanti פרסמה תיקון אבטחה עבור ה- CVEs ב- 31 בינואר. עבור CISA, התיקון היה מאוחר מדי. מערכות הסריקה של הסוכנות זיהו פעילות זדונית ב- 26 בינואר ומאוחר יותר במהלך חקירתה, קבעה CISA כי webshell מתקדם הותקן במערכת ה- CSAT Ivanti Connect Secure של CISA ב- 23 בינואר: "סוג זה של webshell יכול לשמש כדי לבצע פקודות זדוניות או בכדי לכתוב קבצים למערכת הליבה", אמרו CISA והוסיפו: "הניתוח שלנו זיהה עוד כי האקרים ניגשו ל- webshell מספר פעמים במהלך תקופה של יומיים." CISA, שאינה משתמשת עוד במוצרי Ivanti המושפעים, סירבה לומר אילו פעולות נקטו ההאקרים כאשר ניגשו ל- webshell.
"CISA שמרה על מספר שכבות הגנה והפרדה בין מערכת Ivanti שנפרצה לבין נתונים העלולים להיות רגישים, אך היא לא יכולה לשלול שהושגה גישה בלתי מורשית" אמרה קלי מארי – מנהלת שותפה ב- CISA במהלך סמינר מקוון על התקרית. ההודעות ששלחה CISA לכל הארגונים העלולים להיות מושפעים מדלף המידע, נדרשו מכיוון שהפריצה עמדה בסף של תקרית גדולה הכוללת גישה בלתי מורשית למידע אישי מזהה של לפחות 100,000 אנשים במסגרת החוק הפדרלי לניהול אבטחת מידע משנת 2002.
CISA חסמה את הגישה של התעשייה למערכת ה- CSAT ביולי, כאשר סירב הקונגרס לאשר מחדש את תוכנית Chemical Facility Anti-Terrorism Standards. המערכת הופסקה לחלוטין כאשר הסוכנות גילתה את פריצת המידע בינואר והיא תישאר במצב לא מקוון עד שהתוכנית תאושר מחדש.
