Um aviso de divulgação ao Congresso dos Estados Unidos na segunda-feira revelou que o Departamento do Tesouro dos EUA sofreu uma violação no início deste mês que permitiu que hackers acessassem remotamente alguns computadores do Tesouro e “certos documentos não classificados”.
Os atacantes exploraram vulnerabilidades em um software de suporte técnico remoto fornecido pela empresa de gerenciamento de identidade e acesso BeyondTrust, e o Tesouro disse em sua carta aos legisladores que “o incidente foi atribuído a um ator de Ameaça Persistente Avançada (APT) patrocinado pelo estado da China”. A Reuters foi a primeira a relatar a divulgação e seu conteúdo.
No aviso, os oficiais do Tesouro disseram que a BeyondTrust notificou a agência sobre o incidente em 8 de dezembro, após os atacantes conseguirem roubar uma chave de autenticação e usá-la para contornar as defesas do sistema e ganhar acesso às estações de trabalho do Tesouro.
“O serviço comprometido da BeyondTrust foi retirado do ar e, neste momento, não há evidências indicando que o ator da ameaça tenha acesso contínuo às informações do Tesouro”, escreveu Aditi Hardikar, secretária assistente para gestão do Tesouro, aos legisladores. “De acordo com a política do Tesouro, intrusões atribuídas a um APT são consideradas um incidente cibernético maior.”
A divulgação diz que o Tesouro tem colaborado com o FBI, a Agência de Segurança Cibernética e Infraestrutura, e a comunidade de inteligência de forma ampla, bem como investigadores forenses privados para avaliar a situação. O Tesouro e o FBI não retornaram imediatamente o pedido da WIRED por informações adicionais sobre a violação. A CISA encaminhou perguntas de volta ao Departamento do Tesouro. A BeyondTrust não estava imediatamente disponível para comentar sobre a situação.
Em 8 de dezembro, a BeyondTrust publicou um alerta que continuou a atualizar sobre “um incidente de segurança que envolveu um número limitado de clientes de Suporte Remoto SaaS”. Embora a notificação não diga que o Tesouro dos EUA foi um dos clientes impactados, a linha do tempo e os detalhes parecem se alinhar com a divulgação do Tesouro, incluindo o reconhecimento da BeyondTrust de que os atacantes comprometeram uma chave de interface de programação de aplicativos.
O alerta da BeyondTrust menciona duas vulnerabilidades exploradas envolvidas na situação— a vulnerabilidade crítica de injeção de comando “CVE-2024-12356” e a vulnerabilidade de injeção de comando de severidade média “CVE-2024-12686”. A CISA adicionou a primeira CVE ao seu “Catálogo de Vulnerabilidades Conhecidas Exploited” em 19 de dezembro. Vulnerabilidades de injeção de comando são falhas comuns em aplicativos que podem ser facilmente exploradas para ganhar acesso aos sistemas de um alvo.
“Não posso acreditar que estamos vendo vulnerabilidades de injeção de comando em 2024 em qualquer produto, muito menos em um produto de acesso remoto seguro que deveria ter uma verificação adicional para uso pelo governo dos EUA”, diz Jake Williams, vice-presidente de pesquisa e desenvolvimento da consultoria de cibersegurança Hunter Strategy e ex-hacker da NSA. “São alguns dos erros mais fáceis de identificar e remediar neste momento.”
A BeyondTrust é um fornecedor credenciado do “Programa Federal de Gestão de Risco e Autorização”, mas Williams especula que é possível que o Tesouro estivesse usando uma versão não-FedRAMP dos produtos de Suporte Remoto e Acesso Remoto Privilegiado da empresa. Se a violação realmente afetou a infraestrutura de nuvem certificada pelo FedRAMP, no entanto, Williams diz: “pode ser a primeira violação de uma e quase certamente a primeira vez que ferramentas de nuvem FedRAMP foram abusadas para facilitar o acesso remoto aos sistemas de um cliente.”
A violação ocorre enquanto os oficiais dos EUA têm se esforçado para abordar uma enorme campanha de espionagem que comprometeu telecomunicações dos EUA e que foi atribuída ao grupo de hackers apoiado pela China conhecido como Salt Typhoon. Funcionários da Casa Branca disseram a repórteres na sexta-feira que o Salt Typhoon invadiu nove telecomunicações dos EUA.
“Não deixaríamos nossas casas, nossos escritórios, destrancados e, no entanto, nossa infraestrutura crítica— as empresas privadas que possuem e operam nossa infraestrutura crítica— muitas vezes não têm as práticas básicas de cibersegurança em vigor que tornariam nossa infraestrutura mais arriscada, mais cara e mais difícil de atacar por países e criminosos”, disse Anne Neuberger, assessora adjunta de segurança nacional para cibersegurança e tecnologia emergente, na sexta-feira.
Oficiais do Tesouro, CISA e FBI não responderam às perguntas da WIRED sobre se o ator que invadiu o Tesouro era especificamente o Salt Typhoon. Os oficiais do Tesouro disseram na divulgação ao Congresso que forneceriam mais detalhes do incidente no relatório de notificação suplementar de 30 dias exigido pelo Departamento. À medida que mais detalhes continuam a surgir, Williams, da Hunter Strategy, diz que a escala e o escopo da violação podem ser ainda maiores do que atualmente parecem.
“Espero que o impacto seja mais significativo do que o acesso a apenas alguns documentos não classificados”, diz ele.