El Departament del Tresor dels Estats Units ha comunicat que va patir un «incident important de ciberseguretat» que va permetre que presumptes actors xinesos d’amenaces accedissin de manera remota a alguns ordinadors i documents no classificats.

«El 8 de desembre de 2024, un proveïdor de serveis de programari extern, BeyondTrust, va notificar al Tresor nord-americà que un actor d’amenaça havia obtingut accés a una clau utilitzada pel venedor per assegurar un servei basat en el núvol que es feia servir per proporcionar assistència tècnica de manera remota als usuaris finals de les oficines del Departament del Tresor estatunidenc (DO)», va dir el Departament en una carta que informava la Comissió del Senat de Banca, Habitatge i Afers Urbans.

«Amb l’accés a la clau robada, l’actor de l’amenaça va poder anul·lar la seguretat del servei, accedir de manera remota a determinades estacions de treball d’usuaris del DO del Tresor i accedir a determinats documents no classificats que mantenien aquests usuaris».

L’agència federal va dir que ha estat treballant amb l’Agència de Ciberseguretat i Seguretat de la Infraestructura (CISA) i l’Oficina Federal d’Investigacions (FBI), i que les proves disponibles apunten que és el treball d’un actor xinès, sense nom, d’amenaça persistent avançada (APT), patrocinat per l’estat d’aquell país.

El Departament del Tresor també va dir que ha desconnectat el servei BeyondTrust, i va afegir que no hi ha proves que els actors de l’amenaça tinguin accés al seu entorn. No va compartir cap indicador de compromís del fet que la Xina sigui responsable del pirateig, ni va especificar quan i durant quant de temps es va produir la violació de les dades.

El portaveu del ministeri d’Afers Exteriors de la Xina, Mao Ning, va negar les afirmacions que acusaven la Xina d’apuntar el Departament del Tresor, tot afirmant  que «Sobre aquest tipus d’al·legacions injustificades i sense fonament, hem deixat clara la nostra posició més d’una vegada. La Xina s’oposa a totes les formes de pirateria, i en particular, ens oposem a la difusió de la desinformació relacionada amb la Xina motivada per una agenda política».

A principis d’aquest mes, BeyondTrust ha revelat que va ser víctima d’una intrusió digital que va permetre a actors maliciosos infringir algunes de les seves instàncies SaaS de suport remot.

L’empresa va dir que la seva investigació sobre l’incident va descobrir que els atacants van obtenir accés a una clau d’API SaaS de suport remot que els va permetre restablir les contrasenyes dels comptes d’aplicacions locals. BeyondTrust encara no ha revelat com es va obtenir la clau.

Va afirmar que «BeyondTrust va revocar immediatament la clau de l’API, va notificar-ho als clients afectats coneguts i va suspendre aquestes instàncies el mateix dia mentre proporcionava instàncies alternatives de Remote Support SaaS per a aquests clients».

La sonda també ha descobert dos defectes de seguretat als productes d’accés remot privilegiat (PRA) i de suport remot (RS) (CVE-2024-12356, puntuació CVSS: 9,8 i CVE-2024-12686, puntuació CVSS: 6,6), el primer dels quals s’ha afegit al catàleg de vulnerabilitats explotades conegudes (KEV) de CISA, citant proves d’explotació activa en ordinadors reals.

La divulgació arriba quan diversos proveïdors de telecomunicacions dels Estats Units s’han trobat en el punt de mira d’un altre actor d’amenaces patrocinat per l’estat xinès anomenat Salt Typhoon.

Actualització

Un nou informe del Washington Post publicat l’1 de gener de 2025, ha revelat que el ciberatac de desembre per part d’actors d’amenaça xinesos dirigits al Departament del Tresor va infringir l’Oficina de Control d’Actius Estrangers (OFAC) com també l’Oficina del secretari del Tresor, citant funcionaris anònims dels Estats Units.

«El fet d’atacar l’Oficina de Control d’Actius Estrangers (OFAC), com també l’Oficina del secretari del Tresor, un detall que no s’havia informat anteriorment, reflecteix la determinació de Pequín d’adquirir intel·ligència sobre el seu rival més important en la competència mundial pel poder i la influència»,  va comunicar tot citant els funcionaris.