El Departamento del Tesoro de Estados Unidos fue blanco de un ataque atribuido a un grupo de actores de amenazas patrocinado por el gobierno chino, según una carta enviada a los legisladores y revelada por el New York Times. El ataque fue posible tras la explotación de una plataforma de soporte remoto proporcionada por BeyondTrust, una empresa especializada en gestión de acceso privilegiado.
El incidente, detectado el 8 de diciembre último, permitió a los atacantes utilizar una clave API robada para restablecer contraseñas y obtener acceso privilegiado a los sistemas. En base a las investigaciones realizadas, los actores explotaron dos vulnerabilidades de día cero identificadas como, CVE-2024-12356 y CVE-2024-12686, que facilitaron la violación de las instancias SaaS de BeyondTrust y el acceso remoto a documentos sensibles del Tesoro.
Tras el ataque, BeyondTrust tomó medidas inmediatas para cerrar las instancias comprometidas y revocar las claves afectadas. El FBI y la CISA colaboraron en la investigación, concluyendo que no hay evidencia de que los actores de amenazas aún tengan acceso a los sistemas de la agencia.
Este ciberataque se suma a una serie de operaciones recientes atribuidas a «Salt Typhoon», un grupo chino también vinculado a ataques contra empresas de telecomunicaciones estadounidenses como Verizon, AT&T, y T-Mobile. Estas incursiones han afectado comunicaciones privadas, mensajes de texto y llamadas, además de acceder a información confidencial de investigaciones policiales. En respuesta a estos eventos, la CISA recomendó a funcionarios gubernamentales usar aplicaciones de mensajería cifradas como Signal para mitigar riesgos de interceptación. Asimismo, el gobierno de EE. UU. considera la prohibición definitiva de las operaciones de China Telecom en su territorio, como medida de represalia y prevención ante los recientes ataques.
Fuente