Hackers estatais chineses violam o Departamento do Tesouro dos EUA
No que está sendo chamado de “grande incidente de segurança cibernética”, em dezembro de 2024, adversários apoiados por Pequim invadiram o fornecedor cibernético BeyondTrust para acessar as estações de trabalho do Departamento do Tesouro dos EUA e roubar dados não classificados, de acordo com uma carta enviada aos legisladores.
O Departamento do Tesouro dos EUA alertou os legisladores em 30 de dezembro que os agentes de ameaças apoiados pelo Estado chinês foram capazes de comprometer seus sistemas e roubar dados de estações de trabalho no início deste mês.
Como um grupo de ameaça persistente avançada (APT) é suspeito de estar por trás do hack, ele está sendo tratado como um “grande incidente de segurança cibernética”, disse a carta de divulgação do Departamento do Tesouro. A carta foi enviada ao presidente e membro do comitê do Senado que supervisiona a agência.
Os adversários invadiram o Departamento do Tesouro por meio do fornecedor terceirizado de segurança cibernética BeyondTrust e “… obteve acesso a uma chave remota usada pelo fornecedor para proteger um serviço baseado em nuvem usado para fornecer remotamente suporte técnico para usuários finais dos Escritórios Departamentais do Tesouro (DO)”, explicou a carta. “Com acesso à chave roubada, o agente da ameaça foi capaz de substituir a segurança do serviço, acessar remotamente certas estações de trabalho de usuários do Treasury DO e acessar certos documentos não classificados mantidos por esses usuários.”
A BeyondTrust tem mais de 20.000 clientes em mais de 100 países que usam suas ferramentas de acesso remoto privilegiado, de acordo com seu site, que também afirma que a empresa é usada entre 75% das organizações da Fortune 100.
A BeyondTrust informou o Departamento do Tesouro sobre o assunto em 8 de dezembro; o departamento, juntamente com a Agência de Segurança Cibernética e Infraestrutura e o FBI, está investigando o comprometimento, de acordo com a carta.
Um comunicado da BeyondTrust disse que a empresa foi alertada em 5 de dezembro sobre uma chave de API comprometida, que foi imediatamente revogada. Os clientes afetados já foram notificados e a empresa está trabalhando com eles na remediação, de acordo com um comunicado de um porta-voz da BeyondTrust.
“A BeyondTrust identificou e tomou medidas para resolver um incidente de segurança no início de dezembro de 2024 que envolveu o produto Remote Support”, disse o comunicado. “Nenhum outro produto da BeyondTrust estava envolvido.”
Hack chinês “épico” do Tesouro dos EUA
A revelação de que Pequim foi capaz de atacar o coração do próprio sistema capitalista federal dos Estados Unidos ocorre no momento em que o governo federal continua a lidar com os ataques cibernéticos generalizados e coordenados apoiados pela China contra empresas de telecomunicações nos EUA. Uma vez lá dentro, hackers de grupos como o Salt Typhoon acessaram dados de chamadas e mensagens de texto de um número desconhecido de americanos. Até agora, grupos de hackers chineses foram descobertos em pelo menos nove redes de telecomunicações diferentes nos EUA.
Enquanto as investigações sobre a violação do Tesouro dos EUA estão em andamento, esses atos descarados chineses de espionagem cibernética quase certamente exigirão manobras diplomáticas arriscadas. Isso pode ser difícil de realizar durante o obscuro período de transição do governo Biden para o novo governo Trump.
“A negação rotineira de Pequim de responsabilidade por incidentes de espionagem cibernética levanta desafios diplomáticos com os EUA para lidar com essas violações de forma eficaz, uma vez que há falta de transparência e responsabilidade / coordenação”, disse Lawrence Pingree, vice-presidente da Dispersive, em um comunicado fornecido à Dark Reading.
Ainda não está claro se os hackers chineses conseguiram decifrar os segredos do aplicativo ou uma chave criptográfica, acrescentou.
“Segredos e gerenciamento de chaves criptográficas são elementos críticos do gerenciamento do acesso à API de software e, portanto, se deficiente de alguma forma, ou ocorrer um comprometimento por meio do endpoint de um desenvolvedor, a violação desses segredos e chaves de autenticação pode criar esses tipos de violações épicas”, disse Pingree.
A violação também mostra que os fornecedores de segurança cibernética continuam sendo o alvo favorito de agentes sofisticados de ameaças estatais, de acordo com o ex-especialista cibernético da NSA Evan Dornbush, que forneceu uma declaração em reação à violação.
“O mundo da segurança cibernética está se recuperando de mais uma violação de alto perfil, desta vez visando os clientes do fornecedor de segurança BeyondTrust”, disse Dornbush. “Este incidente se junta a uma lista crescente de ataques a empresas de segurança, incluindo Okta (cuja violação afetou diretamente a BeyondTrust como cliente), LastPass, SolarWinds e Snowflake.”
Fonte: DarkReading
Veja também:
- Seguro cibernético na era da digitalização
- 8 modelos de IA em redes 5G: ameaças e mitigações
- Agile Security Workflows: DevSecOps Hacks for CI/CD Pipeline
- Sistemas Microsoft e Cisco têm vulnerabilidades críticas
- Estrutura de Confiança Zero redefine a segurança
- Principais tendências de ameaças persistentes avançadas
- Previsões tecnológicas para 2025 e além
- Tendências em fraudes para 2025 e o futuro dos golpes digitais
- Sete ataques digitais que marcaram a América Latina em 2024
- Gêmeos digitais maliciosos alimentados por deepfake em 2025
- Segurança Cibernética em 2025
- Quando a inovação se torna um risco
Be the first to comment