Actores de amenazas patrocinados por el estado chino han comprometido la seguridad del Departamento del Tesoro de Estados Unidos tras explotar una plataforma de soporte remoto utilizada por la agencia federal, según información revelada recientemente.
![](https://zidrave.net/wp-content/uploads/2024/09/image-90.png)
En una carta enviada a legisladores, obtenida por el New York Times, el Departamento del Tesoro confirmó que fue notificado de la violación el pasado 8 de diciembre por su proveedor de servicios, BeyondTrust. Esta empresa, especializada en gestión de acceso privilegiado, también ofrece una plataforma SaaS de soporte remoto que permite el acceso remoto a computadoras.
«Según los indicadores disponibles, el incidente ha sido atribuido a un actor de amenaza persistente avanzada (APT) patrocinado por el estado chino», detalla la carta.
El Departamento clasificó el incidente como un «evento importante de ciberseguridad», de acuerdo con sus políticas internas.
Detalles del Ataque a BeyondTrust
A principios de mes, BeyondTrust confirmó haber sido objeto de un ataque cibernético. Los actores de amenazas utilizaron una clave API robada de su plataforma SaaS de soporte remoto para restablecer contraseñas de cuentas locales y obtener acceso privilegiado a sistemas críticos.
La investigación posterior reveló que los atacantes aprovecharon dos vulnerabilidades de día cero, identificadas como CVE-2024-12356 y CVE-2024-12686, para comprometer y tomar el control de instancias específicas de Remote Support SaaS.
Impacto en el Departamento del Tesoro
Como cliente de BeyondTrust, el Departamento del Tesoro fue directamente afectado cuando los atacantes utilizaron la plataforma comprometida para acceder de manera remota a computadoras de la agencia y robar documentos sensibles.
Tras la detección del ataque, BeyondTrust tomó medidas inmediatas:
- Cerró todas las instancias comprometidas.
- Revocó la clave API robada.
La investigación, con el apoyo del FBI y la CISA, concluyó que los actores chinos ya no tienen acceso a los sistemas del Departamento del Tesoro tras estas acciones correctivas.
Vinculación con Otros Ataques
Los actores de amenazas chinos, identificados como «Salt Typhoon», también han sido vinculados a recientes ataques contra nueve empresas de telecomunicaciones estadounidenses, incluidas Verizon, AT&T, Lument y T-Mobile. Además, se cree que estos actores han comprometido sistemas en empresas de telecomunicaciones en docenas de países.
El objetivo principal de estos ataques ha sido interceptar mensajes de texto, mensajes de voz y llamadas telefónicas de objetivos seleccionados, además de acceder a datos sensibles relacionados con escuchas telefónicas de personas bajo investigación.
Respuesta de las Autoridades
La CISA ha recomendado a los altos funcionarios gubernamentales que adopten aplicaciones de mensajería cifradas de extremo a extremo, como Signal, para minimizar los riesgos de interceptación.
En respuesta a estos ataques, el gobierno de Estados Unidos evalúa prohibir las operaciones restantes de China Telecom en el país, intensificando las medidas de protección frente a actividades cibernéticas maliciosas.
Declaraciones Pendientes
Aunque BleepingComputer solicitó comentarios adicionales al Departamento de Estado sobre el incidente, hasta el momento no ha recibido respuesta.
El ataque al Departamento del Tesoro y a otras instituciones clave destaca la necesidad urgente de reforzar las estrategias de ciberseguridad frente a amenazas estatales avanzadas.