Piratas informáticos chinos han accedido de manera remota a las estaciones de trabajo pertenecientes al Departamento del Tesoro de EE.UU., así como a documentos no clasificados tras comprometer un servicio basado en la nube y operado por la firma BeyondTrust.
Aunque el departamento se ha referido a lo ocurrido como un "incidente de seguridad importante" lo cierto es que este no ha detallado el alcance de la violación ni informado de cuántas workstations se habrían visto afectadas. Tampoco ha dado detalles de los documentos a los que los cibermalos podrían haber accedido.
El servicio comprometido fue desconectado y no se han encontrado evidencias de que los atacantes tengan todavía acceso a la información del organismo.
El secretario asistente para la gestión del Departamento del Tesoro de EE.UU., Aditi Hardikar, he revelado que la institución fue consciente del problema el pasado 8 de diciembre.
Esta supo de lo ocurrido cuando el proveedor le trasladó que un actor de amenazas había conseguido una clave utilizada por BeyondTrust para proteger un servicio basado en la nube usado para proporcionar de manera remota soporte técnico a los usuarios finales de las Oficinas Departamentales del Tesoro (DO).
"Una vez con acceso a la clave robada, el actor de amenazas tuvo la capacidad para anular la seguridad del servicio, acceder de forma remota a ciertas estaciones de trabajo de usuarios de las DO del Tesoro y dar con ciertos documentos no clasificados mantenidos por esos usuarios", ha aclarado Hardikar.
Una vez más, la amenaza china
El responsable ha reconocido que el incidente era atribuible a un actor de amenazas persistentes avanzadas (APT) patrocinado por el estado chino.
“El Tesoro ha estado trabajando con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI), la Comunidad de Inteligencia e investigadores forenses externos para caracterizar completamente el incidente y determinar su impacto general", ha contado el portavoz.
La CISA se habría puesto en contacto de inmediato cuando el Tesoro tuvo conocimiento del ataque, y también habló con los demás órganos de gobierno cuando el alcance del ataque se hizo evidente.
Beyond Trust lanzó parches a principios de este mes para solucionar una vulnerabilidad de gravedad crítica (CVE-2024-123456) en sus productos de acceso remoto privilegiado (PRA) y soporte remoto (RS) que fueron explotados.
Esta intrusión se conoce pocos días después de que la Casa Blanca haya comunicado que el número de empresas de telecomunicaciones americanas víctimas de una campaña de ciberespionaje china a gran escala, perpetrada por Salt Typhon, se haya elevado a nueve.