El gobierno norteamericano atribuyó el ciberataque a actores patrocinados por el estado chino, aunque este último gobierno rechazó categóricamente las acusaciones.
El Departamento del Tesoro de los Estados Unidos fue víctima de un ciberataque después de que actores maliciosos supuestamente patrocinados por el gobierno chino lograran acceder a estaciones de trabajo y documentos clasificados.
Aditi Hardikar, Asistente de la Secretaría del Tesoro, declaró en una carta dirigida al Comité de Bancos, Viviendas y Asuntos Urbanos del Senado de ese país, que el ataque fue facilitado por una brecha de seguridad en el sistema de soporte remoto de BeyondTrust, que utiliza el Departamento del Tesoro.
E la carta se indica que el 8 de diciembre, la empresa BeyondTrust, especializada en gestión de acceso privilegiado, notificó al Departamento del Tesoro sobre una intrusión en su plataforma de soporte remoto como servicio (SaaS).
Según el comunicado enviado al Senado, los atacantes utilizaron una clave de seguridad robada para acceder de manera remota a estaciones de trabajo y extraer documentos confidenciales.
El ataque comenzó con la explotación de dos vulnerabilidades de día cero, identificadas como CVE-2024-12356 y CVE-2024-12686, las que fueron aprovechadas por los cibercriminales para obtener acceso inicial y luego utilizaron una clave de API comprometida para restablecer contraseñas de cuentas locales en la aplicación, logrando de esa forma controlar los sistemas de la plataforma.
El Departamento del Tesoro calificó la situación como el “mayor incidente de ciberseguridad” según las políticas de la agencia, pero aún no se ha especificado la cantidad exacta de estaciones de trabajo afectadas ni el alcance completo de la información comprometida.
«En base a los indicadores disponibles, el incidente ha sido atribuido a un actor APT patrocinado por el Estado chino», escribió el Aditi Hardikar en la carta dirigida al Comité de Bancos del Senado.
Tras el incidente, BeyondTrust tomó medidas inmediatas al detectar la intrusión, desactivando todas las instancias comprometidas y revocando la clave de API robada.
Según el Departamento del Tesoro, desde que tomaron conocimiento del incidente comenzaron a trabajar con el apoyo del FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la comunidad de inteligencia de ese país e investigadores forenses externos para determinar el impacto del incidente. Con toda la evidencia que han reunido hasta ahora, la entidad señaló que no hay evidencia de que los atacantes hayan logrado acceder a los sistemas del Departamento del Tesoro tras estas acciones.
Este martes China rechazó categóricamente las acusaciones indicando que el gobierno norteamericano realiza acusaciones infundadas que carece de pruebas. Así lo indicó la cancillería de China, sosteniendo que “China siempre se ha opuesto a todas las formas de piratería informática”.