Hackers chinos accedieron a computadoras del Departamento del Tesoro de EU

El Departamento del Tesoro de Estados Unidos notificó el pasado lunes que un cibercriminal, presuntamente patrocinado por el Gobierno de China, se infiltró en sus estaciones de trabajo, en lo que funcionarios describen como un “incidente importante“, según retoma la cadena CNN.

¿Qué pasó con el Departamento del Tesoro de EU?

Un proveedor de servicios de software de terceros informó el 8 de diciembre que un actor de amenazas usó una clave robada para acceder de forma remota a ciertas estaciones de trabajo del Tesoro y documentos no clasificados, según una carta de un funcionaria revisada por CNN.

“Según los indicadores disponibles, el incidente se ha atribuido a un actor de Amenaza Persistente Avanzada (APT) patrocinado por el estado chino“, escribió Aditi Hardikar, subsecretaria de gestión del Tesoro de Estados Unidos, en la carta.

El servicio comprometido ya se desconectó y los funcionarios se encuentran trabajando con las fuerzas del orden, así como con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), según dijo un portavoz del Tesoro a CNN.

“No hay evidencia que indique que el actor de amenazas haya seguido teniendo acceso a los sistemas o la información del Tesoro”.

Portavoz del Departamento del Tesoro

[TE RECOMENDAMOS: “Salt Typhoon”: experto en ciberseguridad explica el peor ataque a las telecomunicaciones de EU]

¿Qué sigue con respecto a este ciberataque?

Los funcionarios del Departamento del Tesoro planean hacer una reunión informativa clasificada sobre la violación la próxima semana con el personal del Comité de Servicios Financieros de la Cámara de Representantes, dijo a CNN un miembro importante del comité.

• Hasta el momento, se desconoce la fecha exacta en que se llevará a cabo la sesión informativa al respecto del ataque por parte de China.

Cabe destacar que un portavoz del Ministerio de Asuntos Exteriores de China negó la acusación cuando se le preguntó sobre el hackeo en una conferencia de prensa el martes 31 de diciembre.

“Hemos manifestado repetidamente nuestra posición sobre tales acusaciones infundadas que carecen de pruebas. China siempre se ha opuesto a todas las formas de ciberataques, y nos oponemos aún más a difundir información falsa sobre China con fines políticos”.

Mao Ning, portavoz del Ministerio de Asuntos Exteriores

[TE PODRÍA INTERESAR: Caos en Nochebuena: American Airlines suspendió vuelos en EU por presunto ciberataque]

Así habría operado el ataque al Tesoro estadounidense

Los piratas informáticos obtuvieron acceso a una clave utilizada por el proveedor de servicios de software de terceros, BeyondTrust, para proteger un servicio basado en la nube que el Tesoro utiliza para soporte técnico, según la carta a la dirección del Comité Bancario del Senado.

“Con acceso a la clave robada, el actor de la amenaza pudo anular la seguridad del servicio, acceder de forma remota a ciertas estaciones de trabajo de usuarios del Tesoro y acceder a ciertos documentos no clasificados mantenidos por esos usuarios”, decía la carta del Tesoro retomada por CNN.

BeyondTrust dijo que identificó un incidente de seguridad que tuvo lugar el 2 de diciembre que involucró a su producto Remote Support y notificó al “número limitado” de clientes involucrados después de que la compañía confirmara el 5 de diciembre que había confirmado un “comportamiento anómalo” en el producto.

¿Cómo reaccionó el proveedor atacado?

El proveedor ha publicado información sobre el incidente en su sitio web el 8 de diciembre y ha estado actualizando su progreso en la investigación de la causa y la mitigación de amenazas futuras, según CNN.

La compañía dijo que suspendió y puso en cuarentena las instancias afectadas del producto y contrató a un equipo externo de ciberseguridad para investigar.

“No hubo otros productos de BeyondTrust involucrados (…) Se notificó a las fuerzas del orden y BeyondTrust ha estado apoyando los esfuerzos de investigación”.

Portavoz de BeyondTrust

Aún no está claro cuántas estaciones de trabajo fueron infiltrados, aunque el portavoz dijo que se accedió a “varias” estaciones de usuarios del Tesoro.

Por su parte, Aditi Hardikar dijo en la carta que, según la política del Tesoro, las intrusiones atribuidas a actores de amenazas persistentes avanzadas se consideran un “incidente importante de ciberseguridad”.

El Departamento del Tesoro debe proporcionar una actualización en un informe complementario de 30 días; mientras tanto, no está claro si la dependencia ha determinado por completo el alcance del daño causado por la violación.

El Tesoro ya trabaja con CISA, FBI y otros investigadores para determinar mejor las consecuencias del ciberataque, presuntamente, financiado por China, remató CNN.

Te recomendamos:

Tiendas falsas y sorteos trampa: así operan los ciberdelincuentes

¡Atento! ¿Te llegan mensajes de texto sospechosos? Así puedes evitar ser víctima de fraude o estafa

Video

Ciberataques Zero Day: qué son y cómo evitar que tu computadora se convierta en un blanco

¡Alerta máxima! Hackers del grupo RansomHub amenazan con filtrar datos médicos de miles de pacientes