TechSpot significa análise e aconselhamento de tecnologia em que você pode confiar .
O que acabou de acontecer? O Departamento do Tesouro dos EUA foi vítima de uma violação significativa de segurança cibernética que ele atribuiu a hackers patrocinados pelo estado chinês. O hack, descrito como um "incidente importante" por funcionários do Tesouro, envolveu o comprometimento de um provedor de serviços de segurança cibernética de terceiros, BeyondTrust, e resultou no roubo de documentos não classificados.
A violação, que ocorreu no início de dezembro de 2024, explorou uma vulnerabilidade no produto de suporte remoto da BeyondTrust. De acordo com uma carta que o departamento enviou aos legisladores que foi vista pela Reuters, os hackers obtiveram acesso a uma chave usada pelo fornecedor para proteger um serviço baseado em nuvem usado para fornecer suporte técnico remotamente para usuários finais dos Treasury Departmental Offices (DO). Esse acesso permitiu que os agentes da ameaça ignorassem as medidas de segurança, acessassem remotamente certas estações de trabalho de usuários do Treasury DO e obtivessem documentos não classificados.
Autoridades do Tesouro foram alertadas sobre a violação em 8 de dezembro de 2024 e envolveram a Cybersecurity and Infrastructure Security Agency (CISA) e o Federal Bureau of Investigation para avaliar o impacto. O departamento tem trabalhado com essas agências, bem como com a comunidade de inteligência e investigadores forenses terceirizados, para entender o escopo total da violação.
"Este incidente se encaixa em um padrão bem documentado de operações de grupos ligados à RPC, com foco particular no abuso de serviços confiáveis de terceiros — um método que se tornou cada vez mais proeminente nos últimos anos", disse Tom Hegel, pesquisador de ameaças da empresa de segurança cibernética SentinelOne, à Reuters.
A BeyondTrust reconheceu o incidente de segurança em uma declaração em seu site. A empresa relatou que "identificou previamente e tomou medidas para lidar com um incidente de segurança no início de dezembro de 2024" envolvendo seu produto de suporte remoto. A BeyondTrust também declarou que havia notificado o número limitado de clientes afetados e as autoridades policiais.
Em resposta à violação, a BeyondTrust tomou várias medidas para lidar com as vulnerabilidades. A empresa identificou uma vulnerabilidade de gravidade média (BT24-11) e uma vulnerabilidade crítica (BT24-10) em seus produtos de suporte remoto e acesso remoto privilegiado. Desde então, eles corrigiram todas as instâncias de nuvem e lançaram atualizações para versões auto-hospedadas.
Enquanto a extensão total da violação ainda está sendo determinada, o Departamento do Tesouro confirmou que o serviço BeyondTrust comprometido foi tirado do ar. No momento, não há evidências indicando que o agente da ameaça ainda tenha acesso contínuo às informações do Tesouro.
A Embaixada Chinesa em Washington negou qualquer envolvimento no hack. Pequim "se opõe firmemente aos ataques difamatórios dos EUA contra a China sem qualquer base factual", disse um porta-voz.
À medida que a investigação prossegue, espera-se que o Departamento do Tesouro forneça mais detalhes em um relatório suplementar de 30 dias, conforme exigido pela Lei Federal de Modernização da Segurança da Informação de 2014 (FISMA) e pela orientação do Escritório de Administração e Orçamento (OMB).
Comentários