cnn
—
El Departamento del Tesoro de Estados Unidos notificó a los legisladores el lunes que un actor patrocinado por el Estado chino se infiltró en las estaciones de trabajo del Tesoro en lo que los funcionarios describen como un “incidente importante”.
En una carta revisada por CNN, un funcionario del Tesoro dijo que un proveedor de servicios de software externo le informó el 8 de diciembre que un actor de amenazas utilizó una clave robada para acceder de forma remota a ciertas estaciones de trabajo del Tesoro y a documentos no clasificados.
“Según los indicadores disponibles, el incidente se ha atribuido a un actor de Amenaza Persistente Avanzada (APT) patrocinado por el estado chino”, escribió en la carta Aditi Hardikar, subsecretaria de gestión del Tesoro de Estados Unidos.
Un portavoz del Tesoro dijo en un comunicado a CNN que el servicio comprometido se desconectó y los funcionarios están trabajando con las autoridades y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
«No hay evidencia que indique que el actor de la amenaza haya tenido acceso continuo a los sistemas o la información del Tesoro», dijo el portavoz del Tesoro.
Los funcionarios del Tesoro planean celebrar una sesión informativa clasificada sobre la violación la próxima semana con el personal del Comité de Servicios Financieros de la Cámara de Representantes, dijo a CNN un alto funcionario del comité. Aún no se ha fijado el momento exacto de la sesión informativa.
Según la carta dirigida al liderazgo del Comité Bancario del Senado, el proveedor de servicios de software externo, BeyondTrust, dijo que los piratas informáticos obtuvieron acceso a una clave utilizada por el proveedor para proteger un servicio basado en la nube que el Tesoro utiliza para soporte técnico.
“Con acceso a la clave robada, el actor de la amenaza pudo anular la seguridad del servicio, acceder de forma remota a ciertas Tesorería [Departmental Office] estaciones de trabajo de los usuarios y acceder a ciertos documentos no clasificados mantenidos por esos usuarios”, decía la carta del Tesoro.
BeyondTrust dijo que identificó un incidente de seguridad que tuvo lugar el 2 de diciembre relacionado con su producto de Soporte Remoto y notificó al «número limitado» de clientes involucrados después de que la compañía confirmara el 5 de diciembre que había confirmado un «comportamiento anómalo» en el producto.
Publicó información sobre el incidente en su sitio web el 8 de diciembre y ha estado actualizando su progreso en la investigación de la causa y la mitigación de amenazas futuras. La compañía dijo que suspendió y puso en cuarentena las instancias afectadas del producto y contrató a un equipo externo de ciberseguridad para investigar.
«No estuvo involucrado ningún otro producto de BeyondTrust», dijo un portavoz de Beyond Trust. «Se notificó a las autoridades y BeyondTrust ha estado apoyando los esfuerzos de investigación».
No está claro exactamente cuántas estaciones de trabajo fueron infiltradas. Sin embargo, el portavoz del Tesoro dijo en el comunicado que se accedió a “varias” estaciones de trabajo de usuarios del Tesoro.
Hardikar dijo en la carta que, según la política del Tesoro, las intrusiones atribuidas a actores de amenazas persistentes avanzadas se consideran un «incidente importante de ciberseguridad». Los funcionarios del Tesoro deben proporcionar una actualización en un informe complementario de 30 días.
No está claro si el Tesoro ha determinado completamente el alcance del daño causado por la infracción.
Hardikar escribió en la carta que, en un esfuerzo por “caracterizar completamente el incidente y determinar su impacto general”, el Tesoro ha estado trabajando con CISA, el FBI, agencias de inteligencia estadounidenses e investigadores forenses externos.
«CISA se comprometió inmediatamente cuando el Tesoro tuvo conocimiento del ataque, y se contactó a los órganos rectores restantes tan pronto como el alcance del ataque se hizo evidente», decía la carta.
Esta historia se ha actualizado con desarrollos y contexto adicionales.
