Los piratas informáticos comprometieron al proveedor de servicios de ciberseguridad de terceros BeyondTrust y pudieron acceder a documentos no clasificados, según la carta.
Según la misiva, los piratas informáticos «obtuvieron acceso a una clave utilizada por el proveedor para proteger un servicio basado en la nube que se utiliza para proporcionar soporte técnico de forma remota a los usuarios finales de las Oficinas Departamentales del Tesoro (DO). Con acceso a la clave robada, el actor de la amenaza pudo anular la seguridad del servicio, acceder de forma remota a ciertas estaciones de trabajo de usuarios de las DO del Tesoro y acceder a ciertos documentos no clasificados que conservan esos usuarios».
«Según los indicadores disponibles, el incidente ha sido atribuido a un actor de amenaza persistente avanzada (APT) patrocinado por el estado chino», afirma la carta.
El Departamento del Tesoro dijo que BeyondTrust le alertó sobre la violación el 8 de diciembre y que estaba trabajando con la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) y el FBI para evaluar el impacto del ataque.
Los funcionarios del Tesoro no respondieron de inmediato a un correo electrónico en el que se solicitaban más detalles sobre el ataque. El FBI no respondió de inmediato a las solicitudes de comentarios de Reuters, mientras que la CISA remitió las preguntas al Departamento del Tesoro.
«China siempre se ha opuesto a todas las formas de ataques piratas informáticos», dijo Mao Ning, portavoz del Ministerio de Asuntos Exteriores de China, en una conferencia de prensa habitual el martes.
Un portavoz de la embajada china en Washington rechazó cualquier responsabilidad por el ataque y afirmó que Beijing «se opone firmemente a los ataques difamatorios de Estados Unidos contra China sin ninguna base fáctica».
Un portavoz de BeyondTrust, con sede en Johns Creek, Georgia, dijo a Reuters en un correo electrónico que la empresa «identificó previamente y tomó medidas para abordar un incidente de seguridad a principios de diciembre de 2024» relacionado con su producto de soporte remoto. BeyondTrust «notificó al número limitado de clientes que estaban involucrados» y se notificó a las autoridades, dijo el portavoz. «BeyondTrust ha estado apoyando los esfuerzos de investigación».
El portavoz hizo referencia a una declaración publicada en el sitio web de la empresa el 8 de diciembre en la que se compartían algunos detalles de la investigación, incluido que una clave digital había sido comprometida en el incidente y que se estaba llevando a cabo una investigación. Esa declaración se actualizó por última vez el 18 de diciembre.
Tom Hegel, investigador de amenazas de la empresa de ciberseguridad SentinelOne, dijo que el incidente de seguridad denunciado «se ajusta a un patrón bien documentado de operaciones de grupos vinculados a la República Popular China, con un enfoque particular en el abuso de servicios confiables de terceros, un método que se ha vuelto cada vez más prominente en los últimos años», dijo, utilizando un acrónimo de la República Popular China.
FUENTE: TIERRA PURA