El Departamento del Tesoro de EU confirmó un ataque cibernético patrocinado por China, que permitió a hackers acceder a estaciones de trabajo y robar documentos no clasificados. El incidente, detectado a través de un proveedor de software, está siendo investigado por el FBI y la CISA.
El Departamento del Tesoro de Estados Unidos notificó a los legisladores sobre un “incidente importante” de ciberseguridad ocurrido este mes, en el que un grupo de hackers patrocinado por el Estado chino accedió a estaciones de trabajo del Tesoro y robó documentos no clasificados. La brecha fue informada por el proveedor de servicios de software de terceros BeyondTrust el 8 de diciembre, quien alertó al Tesoro sobre el acceso no autorizado a su sistema. Según CNN, un actor de amenaza utilizó una clave digital robada para acceder remotamente a ciertas estaciones de trabajo y obtener documentos no clasificados.
Aditi Hardikar, subsecretaria de Gestión del Tesoro, informó que, basándose en los indicadores disponibles, el incidente se ha atribuido a una amenaza persistente avanzada (APT) patrocinada por el Estado chino. Aunque no se especifica cuántas estaciones de trabajo fueron afectadas, el Tesoro afirmó que “varias” estaciones de trabajo de usuarios del Departamento fueron infiltradas.
El ataque se originó cuando los hackers obtuvieron acceso a una clave utilizada por BeyondTrust para asegurar un servicio basado en la nube, que el Tesoro utiliza para ofrecer soporte técnico remoto a los usuarios finales de sus oficinas departamentales. Con la clave robada, los atacantes pudieron eludir las medidas de seguridad del servicio y acceder a las estaciones de trabajo de ciertos usuarios, obteniendo documentos no clasificados mantenidos por estos.
El Tesoro ha confirmado que, tras detectar el ataque, se desconectó inmediatamente el servicio comprometido y ha estado trabajando en conjunto con la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA), el FBI, las agencias de inteligencia de EU y otros investigadores forenses para determinar el alcance del incidente y mitigar cualquier posible daño. Además, el Tesoro asegura que no hay pruebas que indiquen que los hackers hayan seguido accediendo a los sistemas o a la información después de la brecha inicial.
La carta enviada a la Comisión Bancaria del Senado detalla que, debido a la naturaleza de la amenaza, este tipo de incidentes son considerados graves y están sujetos a un informe complementario que será entregado dentro de 30 días. Aunque el Tesoro aún no ha determinado completamente el alcance de los daños, los funcionarios continúan con la investigación en colaboración con otras autoridades de seguridad.
BeyondTrust, por su parte, ha confirmado que ha identificado un incidente de seguridad que involucra a un número limitado de clientes de su software de soporte remoto, aunque no ha respondido a solicitudes adicionales de comentarios. Según la empresa, el ataque se habría basado en la utilización de una clave digital comprometida.
