O Departamento do Tesouro dos EUA sofreu um incidente de segurança “maior” após um hacker patrocinado pelo estado da China invadir o software de gerenciamento remoto de terceiros que utiliza, conforme relatado anteriormente pelo The New York Times.
Em uma carta aos legisladores vista pelo The Verge, o Departamento do Tesouro disse que a BeyondTrust, a empresa por trás de seu software de gerenciamento remoto, notificou a agência sobre uma violação em 8 de dezembro.
O agente de ameaça roubou uma chave usada pela BeyondTrust “para proteger um serviço baseado em nuvem usado para fornecer suporte técnico remotamente para os usuários finais do Departamento do Tesouro (DO)”. Com a chave, eles conseguiram contornar a segurança para acessar remotamente os computadores dos usuários e “alguns documentos não classificados” que eles mantinham.
O Departamento do Tesouro disse que trabalhou com a Agência de Segurança Cibernética e Infraestrutura (CISA) e o FBI após o ataque, que foi atribuído a um hacker de Ameaça Persistente Avançada (APT) patrocinado pelo estado da China. “O serviço comprometido da BeyondTrust foi retirado do ar e não há evidências indicando que o agente de ameaça tenha continuado acesso aos sistemas ou informações do Tesouro”, disse o porta-voz do Departamento do Tesouro dos EUA, Michael Gwin, em uma declaração ao The Verge.
O ataque parece estar ligado a um incidente de segurança que a BeyondTrust divulgou no início deste mês, afetando clientes que usam seu software de suporte remoto. Na época, a BeyondTrust atribuiu o ataque a uma chave API comprometida para seu software de suporte remoto, acrescentando que “revogou imediatamente a chave API, notificou os clientes impactados conhecidos e suspendeu aquelas instâncias no mesmo dia”. O Verge entrou em contato com a BeyondTrust para um pedido de comentário, mas não recebeu resposta imediata.
“O Tesouro leva muito a sério todas as ameaças contra nossos sistemas e os dados que possui”, disse Gwin. “Nos últimos quatro anos, o Tesouro fortaleceu significativamente sua defesa cibernética e continuaremos a trabalhar com parceiros do setor privado e público para proteger nosso sistema financeiro de agentes de ameaça.”