ACTUALIZACIÓN: Esta historia se actualizó el 30 de diciembre para incluir una declaración de un portavoz de BeyondTrust.
El Departamento del Tesoro de Estados Unidos alertó a los legisladores el lunes que actores maliciosos respaldados por el estado chino pudieron comprometer sus sistemas y robar datos de estaciones de trabajo a principios de este mes.
Debido a que se sospecha que un grupo de amenazas persistentes avanzadas (APT) está detrás del ataque, se lo trata como un «incidente de ciberseguridad importante», dice la carta de divulgación del Departamento del Tesoro de EE. UU., que fue enviada al presidente y miembro de alto rango. del Departamento del Tesoro de Estados Unidos. el comité del Senado que supervisa la agencia.
Explica que los adversarios irrumpieron en el Tesoro a través de un proveedor externo de ciberseguridad, BeyondTrust, y «… obtuvieron acceso a una clave remota utilizada por el proveedor para asegurar un servicio basado en la nube utilizado para brindar soporte técnico de forma remota a las Oficinas Departamentales del Tesoro. (DO) usuarios finales», el carta dicho. «Al acceder a la clave robada, el actor malicioso pudo anular la seguridad del servicio, acceder de forma remota a ciertas estaciones de trabajo de los usuarios de Treasury DO y obtener acceso a ciertos documentos no clasificados mantenidos por esos usuarios».
El sitio web BeyondTrust dice que la compañía tiene más de 20.000 clientes en más de 100 países que utilizan sus herramientas de acceso remoto preferidas. El sitio agrega que BeyondTrust es utilizado por el 75% de las organizaciones Fortune 100. La compañía no respondió a la solicitud de comentarios de Dark Reading.
El Tesoro agregó que BeyondTrust le informó del problema el 8 de diciembre y que, junto con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el FBI, estaban investigando el compromiso, según la carta.
A Revisión de BeyondTrust dijo que la compañía fue alertada el 5 de diciembre sobre una clave API comprometida, que fue inmediatamente revocada. Los clientes afectados ya han sido notificados y la empresa está trabajando con ellos para remediar la situación, según un comunicado de un portavoz de BeyondTrust.
«BeyondTrust identificó previamente y tomó medidas para resolver un incidente de seguridad que ocurrió a principios de diciembre de 2024 relacionado con el producto Soporte remoto», dice el comunicado. «No estuvo involucrado ningún otro producto de BeyondTrust».
Hackeo chino “épico” al Tesoro de EE.UU.
La revelación de que Beijing fue capaz de atacar el corazón del propio sistema capitalista federal estadounidense se produce cuando el gobierno federal todavía lucha con el sistema coordinado y en expansión respaldado por China. Ciberataques contra empresas de telecomunicaciones en los Estados Unidos. Una vez dentro, los piratas informáticos pertenecientes a grupos como tifón de sal accedió a los datos de llamadas y mensajes de texto de un número desconocido de estadounidenses. Hasta ahora, se han descubierto grupos de piratas informáticos chinos en al menos nueve redes de telecomunicaciones diferentes en Estados Unidos.
A medida que continúan las investigaciones sobre la violación del Tesoro de Estados Unidos, es casi seguro que estos descarados actos de ciberespionaje chino requerirán maniobras diplomáticas arriesgadas. Esto podría resultar difícil de lograr durante el problemático período de transición entre la administración Biden y el nuevo gobierno. administración Trump.
«La negación sistemática de responsabilidad por parte de Beijing por incidentes de ciberespionaje plantea dificultades diplomáticas con Estados Unidos para abordar eficazmente tales violaciones, ya que hay una falta de transparencia y rendición de cuentas/coordinación», dijo Lawrence Pingree, vicepresidente de Dispersive en una declaración proporcionada a Dark Reading. .
Añadió que aún no está claro si los piratas informáticos chinos lograron desbloquear los secretos de la aplicación o una clave criptográfica.
“La gestión de claves y secretos criptográficos es una parte fundamental de la gestión del acceso a las API de software. Por lo tanto, en caso de que se produzca un fallo de algún modo, o si se produce un compromiso a través del punto final de un desarrollador, la violación de estos secretos y claves de autenticación puede crearlos. tipos de violaciones épicas”, añadió. .
La violación también muestra que los proveedores de ciberseguridad siguen siendo un objetivo favorito de actores estatales sofisticados, según el ex experto cibernético de la NSA Evan Dornbush, quien proporcionó una declaración en reacción a la violación.
«El mundo de la ciberseguridad se está recuperando de otra violación de alto perfil, esta vez dirigida a los clientes del proveedor de seguridad BeyondTrust», dijo Dornbush. «Este incidente se suma a una lista cada vez mayor de ataques contra empresas de seguridad, incluidas Okta (cuya infracción afectó directamente a BeyondTrust como cliente), LastPass, SolarWinds y Snowflake».