Los malos actores patrocinados por el Estado chino piratearon el Departamento del Tesoro de Estados Unidos después de violar una plataforma de soporte remoto utilizada por la agencia federal.
En una carta enviada a los legisladores y vista por The New York Times, el Departamento del Tesoro advirtió a los legisladores que su proveedor BeyondTrust le informó por primera vez de la infracción el 8 de diciembre.
BeyondTrust es una empresa de gestión de acceso privilegiado que también ofrece una plataforma SaaS de soporte remoto que se puede utilizar para acceder a las computadoras de forma remota.
“Según los indicadores disponibles, el incidente se atribuyó a un actor de Amenaza Persistente Avanzada (APT) patrocinado por el estado chino”, se lee en la carta vista por el New York Times.
“De acuerdo con la política del Tesoro, las intrusiones atribuibles a una APT se consideran un incidente importante de ciberseguridad”.
A principios de este mes, BleepingComputer informó que BeyondTrust había sido violado y que actores maliciosos obtuvieron acceso a algunas de las instancias SaaS de soporte remoto de la compañía.
En esta infracción, los actores de amenazas utilizaron una clave API SaaS de soporte remoto robada para restablecer las contraseñas de las cuentas de las aplicaciones locales y obtener acceso privilegiado adicional a los sistemas.
Después de investigar el ataque, BeyondTrust descubrió dos vulnerabilidades de día cero, CVE-2024-12356 y CVE-2024-12686, que permitían a actores maliciosos piratear y tomar el control de instancias SaaS de soporte remoto.
Como el Departamento del Tesoro era cliente de una de estas instancias comprometidas, los actores de amenazas pudieron utilizar la plataforma para acceder a las computadoras de la agencia y robar documentos de forma remota.
Después de que BeyondTrust detectó la infracción, cerraron todas las instancias comprometidas y revocaron la clave API robada.
La carta afirma que el FBI y CISA ayudaron en la investigación de la violación del Departamento del Tesoro, y no hay evidencia de que los actores de amenazas chinos todavía tengan acceso a las computadoras de la agencia ahora que las instancias comprometidas han sido cerradas.
Los actores de amenazas patrocinados por el Estado chino, cuyo nombre en código es “Salt Typhoon”, también han sido vinculados con ataques recientes a nueve empresas de telecomunicaciones estadounidenses, incluidas Verizon, AT&T, Lument y T-Mobile. Se cree que los actores de la amenaza han pirateado empresas de telecomunicaciones en decenas de otros países.
Los actores de amenazas utilizaron este acceso para atacar mensajes de texto, mensajes de voz y llamadas telefónicas de personas objetivo, así como para acceder a información de escuchas telefónicas de personas bajo investigación de las fuerzas del orden.
Desde esta ola de violaciones de telecomunicaciones, CISA ha instado a altos funcionarios gubernamentales a pasar a aplicaciones de mensajería cifradas de extremo a extremo como Signal para reducir el riesgo de que las comunicaciones sean interceptadas.
Según se informa, el gobierno de EE. UU. tiene la intención de prohibir las operaciones activas restantes de China Telecom en EE. UU. en respuesta a los ataques a las telecomunicaciones.
BleepingComputer envió más preguntas al Departamento de Estado sobre la infracción, pero aún no ha recibido una respuesta.