Tesouro dos EUA atingido por Ciberataque Vinculado a Grupo Patrocinado pelo Estado Chinês

O Departamento do Tesouro dos EUA confirmou que sofreu uma violação significativa de segurança cibernética em 8 de dezembro de 2024, na qual um agente cibernético chinês patrocinado pelo estado obteve acesso não autorizado a seus sistemas.

A violação foi vinculada a um provedor de software terceirizado, BeyondTrust, que vinha fornecendo serviços de suporte técnico remoto para os usuários finais dos Escritórios Departamentais (DO) do Tesouro.

Em uma carta aos legisladores, o Departamento do Tesouro detalhou o incidente e descreveu as medidas tomadas em resposta. A violação ocorreu quando o ator da ameaça acessou uma chave usada pela BeyondTrust para proteger um serviço baseado em nuvem.

Com essa chave, o invasor contornou as medidas de segurança, infiltrou-se remotamente nas estações de trabalho do Tesouro e acessou documentos não classificados armazenados nos sistemas afetados.

Ao descobrir a violação, o Tesouro notificou imediatamente a Agência de Segurança Cibernética e Infraestrutura (CISA), o Federal Bureau of Investigation (FBI) e a Comunidade de Inteligência.

Investigadores forenses independentes também foram trazidos para avaliar a situação e determinar a extensão total do ataque. De acordo com o Tesouro, evidências disponíveis ligam o incidente a um grupo de Ameaça Persistente Avançada (APT) patrocinado pelo estado chinês.

CNN nota que o número exato de estações de trabalho infiltradas permanece incerto. No entanto, um porta-voz do Tesouro confirmou que “várias” estações de trabalho do Tesouro foram acessadas. Também é incerto se o Tesouro avaliou totalmente a extensão do dano causado pela violação.

Tom Hegel, pesquisador de ameaças na empresa de segurança cibernética SentinelOne, observou para a Reuters que o incidente de segurança relatado está de acordo com um padrão de comportamento conhecido por grupos afiliados à RPC, particularmente seu crescente uso de serviços terceirizados confiáveis, uma tática que tem se tornado mais prevalente nos últimos anos.

O serviço comprometido desde então foi retirado do ar, e até o momento, não há indicação de que o ator da ameaça tenha mantido acesso às informações do Tesouro, de acordo com a carta.

Em resposta à violação, os funcionários do Tesouro elogiaram os investimentos realizados no âmbito da Conta de Melhoria da Cibersegurança (CEA), que forneceram ferramentas essenciais para monitorar e responder ao ataque.

Conforme a Lei de Modernização da Segurança da Informação Federal (FISMA), o Tesouro classificou este incidente como um evento importante de cibersegurança.

O Washington Post comenta que a violação segue uma série de ataques cibernéticos de alto perfil atribuídos à China.

No início deste ano, o grupo chinês de hackers conhecido como Salt Typhoon infiltrou-se em mais de uma dúzia de empresas de telecomunicações dos EUA, permitindo interceptar ligações telefônicas e mensagens de texto, incluindo as do presidente-eleito Donald Trump e do vice-presidente eleito JD Vance.