El Departamento del Tesoro de Estados Unidos dijo que sufrió un “incidente importante de ciberseguridad” que permitió a presuntos actores de amenazas chinos acceder de forma remota a algunas computadoras y documentos no clasificados.
“El 8 de diciembre de 2024, un proveedor de servicios de software externo, BeyondTrust, notificó al Tesoro que un actor de amenazas había obtenido acceso a una clave utilizada por el proveedor para proteger un servicio basado en la nube utilizado para proporcionar soporte técnico de forma remota al Tesoro. Usuarios finales de las Oficinas Departamentales (DO)”, dijo el departamento en una carta informada al Comité Senatorial de Banca, Vivienda y Asuntos Urbanos.
“Con acceso a la clave robada, el actor de amenazas pudo anular la seguridad del servicio, acceder de forma remota a ciertas estaciones de trabajo de usuarios de Treasury DO y acceder a ciertos documentos no clasificados mantenidos por esos usuarios”.
La agencia federal dijo que ha estado trabajando con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI), y que la evidencia disponible apunta a que se trata del trabajo de una Amenaza Persistente Avanzada (APT) no identificada patrocinada por el estado. actor de China.
El Departamento del Tesoro dijo además que desconectó el servicio BeyondTrust y agregó que no hay evidencia de que los actores de amenazas tengan acceso al entorno.
A principios de este mes, BeyondTrust reveló que fue víctima de una intrusión digital que permitió a los delincuentes violar algunas de sus instancias SaaS de soporte remoto.
La compañía dijo que su investigación sobre el incidente encontró que los atacantes obtuvieron acceso a una clave API de SaaS de soporte remoto que les permitió restablecer las contraseñas de las cuentas de aplicaciones locales. BeyondTrust aún no ha revelado cómo se obtuvo la clave.
“BeyondTrust revocó inmediatamente la clave API, notificó a los clientes afectados conocidos y suspendió esas instancias el mismo día mientras proporcionaba instancias SaaS de soporte remoto alternativas para esos clientes”, dijo.
La investigación también ha descubierto dos fallos de seguridad en los productos Privileged Remote Access (PRA) y Remote Support (RS) (CVE-2024-12356, puntuación CVSS: 9,8 y CVE-2024-12686, puntuación CVSS: 6,6), el primero de los cuales se ha agregado al catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA, citando evidencia de explotación activa en la naturaleza.
La divulgación se produce cuando varios proveedores de telecomunicaciones estadounidenses se encuentran en la mira de otro actor de amenazas patrocinado por el estado chino llamado Salt Typhoon.
About the Author
