Els pirates informàtics xinesos infringeixen els sistemes del Tresor dels EUA en un incident alarmant de ciberseguretat
El Departament del Tresor dels Estats Units ha confirmat que els pirates informàtics xinesos van accedir de manera remota a les estacions de treball departamentals i a documents no classificats en el que els funcionaris anomenen un "incident important de ciberseguretat". L'incompliment es va produir després que els pirates informàtics comprometessin un servei basat en núvol operat per BeyondTrust, una empresa especialitzada en la gestió d'accés privilegiat.
Tot i que els funcionaris del Tresor van reconèixer la gravetat de l'incident, els detalls crítics encara no estan clars. El departament no ha revelat el nombre d'estacions de treball afectades ni la naturalesa dels documents als quals s'ha accedit.
Taula de continguts
Incompliment lligat a una amenaça persistent avançada vinculada a la Xina
L'atac, atribuït a un grup d'amenaça persistent avançada (APT) de la Xina patrocinat per l'estat, es va desenvolupar després que els pirates informàtics explotéssin una clau d'API robada utilitzada per BeyondTrust. Segons Aditi Hardikar, secretari adjunt de gestió del Departament de Tresoreria, BeyondTrust va notificar al Tresor el 8 de desembre una activitat sospitosa vinculada al seu servei de suport tècnic basat en núvol.
"Amb accés a la clau robada, l'actor de l'amenaça va poder anul·lar la seguretat del servei, accedir de forma remota a les estacions de treball d'usuaris de les oficines departamentals del Tresor (DO) i recuperar documents no classificats mantinguts per aquests usuaris", va explicar Hardikar en una carta als legisladors.
Tot i que els sistemes no classificats són generalment menys sensibles que les xarxes classificades, el seu compromís encara pot suposar un risc important, exposant potencialment les operacions governamentals o permetre més atacs.
Resposta coordinada en curs
El Tresor ha contractat l'Agència de Ciberseguretat i Seguretat d'Infraestructures (CISA), l'FBI, la Comunitat d'Intel·ligència i investigadors forenses privats per analitzar l'incompliment i avaluar-ne l'impacte. Segons Hardikar, aquestes agències col·laboren per garantir que l'incident es contingui i per reforçar les defenses contra futures amenaces.
La ràpida resposta de CISA, juntament amb la decisió del Tresor de treure immediatament el servei compromès fora de línia, fins ara no ha revelat cap indici que els pirates informàtics encara tinguin accés als sistemes departamentals.
Vulnerabilitat BeyondTrust explotada
BeyondTrust, el venedor central de l'incident, va emetre recentment pedaços per a una vulnerabilitat crítica (CVE-2024-12356) als seus productes Privileged Remote Access (PRA) i Remote Support (RS). El 5 de desembre, l'empresa va descobrir que s'havia compromès una clau API per al seu Remote Support SaaS, provocant un tancament immediat de les instàncies afectades i una notificació als clients afectats.
Context: una onada més àmplia de ciberespionatge xinès
Aquest atac al Tresor es produeix enmig de les preocupacions més grans sobre una campanya de ciberespionatge xinesa més gran, sobrenomenada " Tifó de sal ". Segons sembla, aquesta campanya va concedir a Pequín accés a comunicacions sensibles, inclosos missatges de text i converses telefòniques, amb la participació de ciutadans nord-americans.
A finals de desembre, els funcionaris nord-americans van confirmar que nou companyies de telecomunicacions havien estat compromeses per Salt Typhoon. L'incompliment del Tresor, tot i que aparentment no té relació, posa de manifest l'abast i la sofisticació de les operacions cibernètiques patrocinades per l'estat xinès dirigides a la infraestructura i els sistemes governamentals dels EUA.
Aportacions clau
Aquest incident és un recordatori contundent de les vulnerabilitats crítiques que suposen les dependències de programari de tercers. Els serveis basats en el núvol, sovint considerats còmodes i segurs, poden convertir-se en una porta d'entrada per als atacants si s'exploten.
Les organitzacions, tant governamentals com privades, han de mantenir-se vigilants, garantint protocols de seguretat sòlids, pegats periòdics i plans complets de resposta a incidents. La ràpida implicació del govern dels EUA amb les agències de ciberseguretat subratlla la importància d'una resposta coordinada a les amenaces cibernètiques.
A mesura que es desenvolupa la investigació, una cosa és clara: els interessos de la ciberseguretat són més grans que mai en una època d'escalades de tensions geopolítiques i ciberatacs cada cop més sofisticats.