Cibercriminosos chineses comprometem Departamento do Tesouro dos EUA em incidente significativo

O Departamento do Tesouro dos Estados Unidos confirmou ter sido alvo de cibercriminosos chineses, que conseguiram acesso remoto a estações de trabalho e documentos não classificados após explorarem uma vulnerabilidade num serviço baseado em cloud.

Através de uma chave de API comprometida, os cibercriminosos contornaram as medidas de segurança do serviço da BeyondTrust, acedendo a sistemas utilizados para suporte técnico remoto. Em carta enviada aos legisladores, Aditi Hardikar, secretária adjunta de administração deste departamento, afirmou que o incidente, atribuído a um grupo de Ameaça Persistente Avançada (APT) patrocinado pelo Estado chinês, foi reportado pela BeyondTrust no início de dezembro. A investigação envolveu a Agência de Segurança de Infraestruturas e Cibersegurança (CISA), o FBI e especialistas externos.

O serviço comprometido foi rapidamente retirado de operação, e a BeyondTrust lançou atualizações de segurança para corrigir a vulnerabilidade crítica (CVE-2024-12356) nos seus produtos de Acesso Remoto Privilegiado e Suporte Remoto. A empresa informou que notificou os clientes afetados e tomou medidas imediatas para mitigar os impactos.

Não há, até ao momento, evidências de que os cibercriminosos mantenham acesso aos sistemas do Departamento do Tesouro dos Estados Unidos.

Este incidente ocorre no contexto de uma campanha mais ampla de ciberespionagem chinesa, denominada “Salt Typhoon”, que visa infraestruturas críticas nos EUA. As autoridades norte-americanas continuam a lidar com as repercussões desta operação, que comprometeu dados de comunicações privadas de diversas empresas de telecomunicações.