Piratas informáticos patrocinados por el Estado chino violaron las barreras de seguridad informática del Departamento del Tesoro de Estados Unidos este mes y robaron documentos en lo que el Tesoro llamó un «incidente importante», según una carta a los legisladores., abre una nueva pestañaque funcionarios del Tesoro proporcionaron a Reuters el lunes.
Los piratas informáticos comprometieron al proveedor de servicios de ciberseguridad de terceros BeyondTrust y pudieron acceder a documentos no clasificados, según la carta. Según la carta, los piratas informáticos «obtuvieron acceso a una clave utilizada por el proveedor para proteger un servicio basado en la nube que se utiliza para proporcionar soporte técnico de forma remota a los usuarios finales de las Oficinas Departamentales del Tesoro (DO). Con acceso a la clave robada, el actor de la amenaza pudo anular la seguridad del servicio, acceder de forma remota a ciertas estaciones de trabajo de usuarios de las DO del Tesoro y acceder a ciertos documentos no clasificados que conservan esos usuarios».
El Departamento del Tesoro dijo que BeyondTrust le alertó sobre la violación el 8 de diciembre y que estaba trabajando con la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos y el FBI para evaluar el impacto del ataque. Los funcionarios del Tesoro no respondieron de inmediato a un correo electrónico en el que se solicitaban más detalles sobre el ataque. El FBI no respondió de inmediato a las solicitudes de comentarios de Reuters, mientras que la CISA remitió las preguntas al Departamento del Tesoro.
C S TIC el Podcast:
Un portavoz de la embajada china en Washington rechazó cualquier responsabilidad por el ataque y afirmó que Pekín «se opone firmemente a los ataques difamatorios de Estados Unidos contra China sin ninguna base fáctica». Un portavoz de BeyondTrust, con sede en Johns Creek, Georgia, dijo a Reuters en un correo electrónico que la empresa «identificó previamente y tomó medidas para abordar un incidente de seguridad a principios de diciembre de 2024» relacionado con su producto de soporte remoto. BeyondTrust «notificó al número limitado de clientes que estaban involucrados» y se notificó a las autoridades, dijo el portavoz. «BeyondTrust ha estado apoyando los esfuerzos de investigación».
El portavoz se refirió a un comunicado publicado en el sitio web de la empresa., abre una nueva pestañaEl 8 de diciembre, compartió algunos detalles de la investigación, incluido que una clave digital se había visto comprometida en el incidente y que se estaba llevando a cabo una investigación. Esa declaración se actualizó por última vez el 18 de diciembre. Tom Hegel, investigador de amenazas en la empresa de ciberseguridad SentinelOne (SN), abre una nueva pestaña, dijo que el incidente de seguridad reportado «se ajusta a un patrón bien documentado de operaciones por parte de grupos vinculados a la República Popular China, con un enfoque particular en el abuso de servicios confiables de terceros, un método que se ha vuelto cada vez más prominente en los últimos años», dijo, usando un acrónimo de la República Popular China.
Reporte de Raphael Satter en Washington, AJ Vicens en Detroit y Akash Sriram en Bengaluru; editado por Shinjini Ganguli, Tasim Zahid, Alistair Bell, Rod Nickel y Leslie Adler
Fuente: reuters
