Cotação de desconto para licenças múltiplas
Segurança do Computador Hackers Chineses Violam os Sistemas do Tesouro dos EUA em...

Hackers Chineses Violam os Sistemas do Tesouro dos EUA em um Alarmante Incidente e Segurança Cibernética

Por Mura em Segurança do Computador
Traduzir Para:
Português

O Departamento do Tesouro dos EUA confirmou que hackers chineses acessaram remotamente estações de trabalho departamentais e documentos não classificados no que as autoridades estão chamando de "grande incidente de segurança cibernética". A violação ocorreu depois que hackers comprometeram um serviço baseado em nuvem operado pela BeyondTrust, uma empresa especializada em gerenciamento de acesso privilegiado.

Embora autoridades do Tesouro tenham reconhecido a gravidade do incidente, detalhes críticos permanecem obscuros. O departamento não divulgou o número de estações de trabalho impactadas ou a natureza dos documentos acessados.

Violação Ligada a uma Ameaça Persistente Avançada Vinculada à China

O ataque, atribuído a um grupo de Ameaca Persistente Avançada (APA) patrocinado pelo estado da China, ocorreu após os hackers explorarem uma chave de API roubada usada pela BeyondTrust. De acordo com Aditi Hardikar, Secretária Assistente de Gestão do Departamento do Tesouro, a BeyondTrust notificou o Tesouro em 8 de dezembro sobre atividades suspeitas vinculadas ao seu serviço de suporte técnico baseado em nuvem.

“Com acesso à chave roubada, o agente da ameaça conseguiu anular a segurança do serviço, acessar remotamente as estações de trabalho dos usuários dos Escritórios Departamentais do Tesouro (DO) e recuperar documentos não confidenciais mantidos por esses usuários”, explicou Hardikar em uma carta aos legisladores.

Embora sistemas não classificados sejam geralmente menos sensíveis do que redes classificadas, seu comprometimento ainda pode representar um risco significativo, potencialmente expondo operações governamentais ou permitindo novos ataques.

Uma Resposta Coordenada em Andamento

O Tesouro convocou a Cybersecurity and Infrastructure Security Agency (CISA), o FBI, a Intelligence Community e investigadores forenses privados para analisar a violação e avaliar seu impacto. De acordo com Hardikar, essas agências estão colaborando para garantir que o incidente seja contido e para reforçar as defesas contra ameaças futuras.

A resposta rápida da CISA, aliada à decisão do Tesouro de tirar imediatamente o serviço comprometido do ar, não revelou até agora nenhum sinal de que os hackers ainda tenham acesso aos sistemas departamentais.

A Exploração da Vulnerabilidade BeyondTrust 

BeyondTrust, o fornecedor no centro do incidente, emitiu recentemente patches para uma vulnerabilidade crítica (CVE-2024-12356) em seus produtos Privileged Remote Access (PRA) e Remote Support (RS). Em 5 de dezembro, a empresa descobriu que uma chave de API para seu Remote Support SaaS havia sido comprometida, desencadeando um desligamento imediato das instâncias afetadas e notificação aos clientes impactados.

Contexto: Uma Onda Mais Ampla da Espionagem Cibernética Chinesa

Este ataque ao Tesouro ocorre em meio a preocupações crescentes sobre uma campanha maior de ciberespionagem chinesa, chamada de "Salt Typhoon". Essa campanha teria concedido a Pequim acesso a comunicações confidenciais, incluindo mensagens de texto e conversas telefônicas, envolvendo cidadãos americanos.

No final de dezembro, autoridades dos EUA confirmaram que nove empresas de telecomunicações foram comprometidas pelo Salt Typhoon. A violação do Tesouro, embora aparentemente não relacionada, destaca o escopo e a sofisticação das operações cibernéticas patrocinadas pelo estado chinês visando a infraestrutura e os sistemas governamentais dos EUA.

Principais Conclusões

Este incidente é um lembrete gritante das vulnerabilidades críticas apresentadas por dependências de software de terceiros. Serviços baseados em nuvem, frequentemente vistos como convenientes e seguros, podem se tornar uma porta de entrada para invasores se explorados.

Organizações — governamentais e privadas — devem permanecer vigilantes, garantindo protocolos de segurança robustos, patches regulares e planos abrangentes de resposta a incidentes. O rápido envolvimento do governo dos EUA com agências de segurança cibernética ressalta a importância de uma resposta coordenada a ameaças cibernéticas.

À medida que a investigação avança, uma coisa fica clara: os riscos da segurança cibernética estão maiores do que nunca em uma era de crescentes tensões geopolíticas e ataques cibernéticos cada vez mais sofisticados.

Carregando...