Gli hacker cinesi violano i sistemi del Tesoro degli Stati Uniti in un allarmante incidente di sicurezza informatica
Il Dipartimento del Tesoro degli Stati Uniti ha confermato che gli hacker cinesi hanno avuto accesso da remoto alle postazioni di lavoro del dipartimento e a documenti non classificati in quello che i funzionari chiamano un "grave incidente di sicurezza informatica". La violazione si è verificata dopo che gli hacker hanno compromesso un servizio basato su cloud gestito da BeyondTrust, un'azienda specializzata nella gestione degli accessi privilegiati.
Sebbene i funzionari del Tesoro abbiano riconosciuto la gravità dell'incidente, i dettagli critici restano poco chiari. Il dipartimento non ha divulgato il numero di postazioni di lavoro interessate o la natura dei documenti a cui si è avuto accesso.
Sommario
Violazione legata alla minaccia persistente avanzata legata alla Cina
L'attacco, attribuito a un gruppo cinese Advanced Persistent Threat (APT) sponsorizzato dallo stato, si è verificato dopo che gli hacker hanno sfruttato una chiave API rubata utilizzata da BeyondTrust. Secondo Aditi Hardikar, assistente segretario per la gestione presso il Dipartimento del Tesoro, l'8 dicembre BeyondTrust ha notificato al Tesoro un'attività sospetta legata al suo servizio di supporto tecnico basato su cloud.
"Grazie all'accesso alla chiave rubata, l'autore della minaccia è stato in grado di eludere la sicurezza del servizio, accedere da remoto alle postazioni di lavoro degli utenti del Treasury Departmental Offices (DO) e recuperare documenti non classificati conservati da quegli utenti", ha spiegato Hardikar in una lettera ai legislatori.
Sebbene i sistemi non classificati siano generalmente meno sensibili delle reti classificate, la loro compromissione può comunque rappresentare un rischio significativo, esponendo potenzialmente le operazioni governative o consentendo ulteriori attacchi.
Risposta coordinata in corso
Il Tesoro ha arruolato la Cybersecurity and Infrastructure Security Agency (CISA), l'FBI, l'Intelligence Community e investigatori forensi privati per analizzare la violazione e valutarne l'impatto. Secondo Hardikar, queste agenzie stanno collaborando per garantire che l'incidente sia contenuto e per rafforzare le difese contro minacce future.
La rapida risposta della CISA, abbinata alla decisione del Tesoro di disattivare immediatamente il servizio compromesso, non ha finora evidenziato alcun segno che gli hacker abbiano ancora accesso ai sistemi dipartimentali.
Vulnerabilità BeyondTrust sfruttata
BeyondTrust, il fornitore al centro dell'incidente, ha recentemente rilasciato patch per una vulnerabilità critica (CVE-2024-12356) nei suoi prodotti Privileged Remote Access (PRA) e Remote Support (RS). Il 5 dicembre, l'azienda ha scoperto che una chiave API per il suo Remote Support SaaS era stata compromessa, innescando un arresto immediato delle istanze interessate e una notifica ai clienti interessati.
Contesto: un’ondata più ampia di cyberspionaggio cinese
Questo attacco al Tesoro avviene in un momento in cui aumentano le preoccupazioni circa una più ampia campagna cinese di cyberspionaggio, soprannominata " Tifone del sale ". Tale campagna avrebbe concesso a Pechino l'accesso a comunicazioni riservate, tra cui messaggi di testo e conversazioni telefoniche, che coinvolgevano cittadini americani.
A fine dicembre, i funzionari statunitensi hanno confermato che nove società di telecomunicazioni erano state compromesse da Salt Typhoon. La violazione del Tesoro, sebbene apparentemente non correlata, evidenzia la portata e la sofisticatezza delle operazioni informatiche sponsorizzate dallo stato cinese che prendono di mira le infrastrutture e i sistemi governativi statunitensi.
Punti chiave
Questo incidente è un duro promemoria delle vulnerabilità critiche poste dalle dipendenze software di terze parti. I servizi basati su cloud, spesso visti come convenienti e sicuri, possono diventare un gateway per gli aggressori se sfruttati.
Le organizzazioni, sia governative che private, devono rimanere vigili, assicurando solidi protocolli di sicurezza, patch regolari e piani completi di risposta agli incidenti. Il rapido coinvolgimento del governo degli Stati Uniti nelle agenzie di sicurezza informatica sottolinea l'importanza di una risposta coordinata alle minacce informatiche.
Con l'avanzare delle indagini, una cosa è chiara: la posta in gioco della sicurezza informatica è più alta che mai in un'epoca di crescenti tensioni geopolitiche e di attacchi informatici sempre più sofisticati.