Gli hacker sponsorizzati dallo stato cinese hanno violato le protezioni di sicurezza informatica del Dipartimento del Tesoro degli Stati Uniti questo mese e hanno rubato documenti in quello che il Tesoro ha definito un “incidente grave”, secondo una lettera ai legislatori che i funzionari del Tesoro hanno inoltrato a Reuters lunedì (30).
Gli hacker hanno compromesso il fornitore di servizi di sicurezza informatica BeyondTrust e sono stati in grado di accedere a documenti non classificati, riporta la lettera.
Secondo il documento, gli hacker “hanno ottenuto l’accesso a una chiave utilizzata dal fornitore per proteggere un servizio basato su cloud utilizzato per fornire supporto tecnico remoto agli utenti finali degli uffici del Dipartimento del Tesoro (DO).” Con l’accesso alla chiave rubata, l’autore della minaccia è stato in grado di sconfiggere la sicurezza del servizio, accedere in remoto ad alcune workstation degli utenti DO e ad alcuni documenti non classificati gestiti da questi utenti”.
“Sulla base degli indicatori disponibili, l’incidente è stato attribuito a un attore dell’Advanced Persistent Threat (APT) sponsorizzato dallo stato cinese”, si legge nella lettera.
Il Dipartimento del Tesoro ha dichiarato di essere stato avvisato della violazione da BeyondTrust l’8 dicembre e di aver collaborato con la Cybersecurity and Infrastructure Security Agency (CISA) e l’FBI per valutare l’impatto dell’attacco.
I funzionari del Tesoro non hanno risposto immediatamente a un’e-mail in cui si richiedevano maggiori dettagli sull’hacking.
L’FBI non ha risposto immediatamente alle richieste di commento della Reuters, mentre la CISA ha rinviato le domande al Dipartimento del Tesoro.
La Cina nega le accuse
“La Cina si è sempre opposta a ogni forma di attacco hacker”, ha dichiarato martedì Mao Ning, portavoce del ministero cinese degli Affari esteri, in una conferenza stampa (31).
Un portavoce dell’ambasciata cinese a Washington ha respinto ogni responsabilità per l’attacco, sottolineando che Pechino “si oppone fermamente agli attacchi diffamatori degli Stati Uniti contro la Cina senza alcuna base fattuale”.
Un portavoce di BeyondTrust ha dichiarato a Reuters in una e-mail che la società “ha precedentemente identificato e adottato misure per risolvere un incidente di sicurezza all’inizio di dicembre 2024” che coinvolgeva il suo prodotto di supporto remoto.
Il fornitore “ha informato il numero limitato di clienti coinvolti” e le autorità di contrasto sono state informate, ha spiegato il portavoce. “BeyondTrust ha sostenuto gli sforzi investigativi.”
Il portavoce ha fatto riferimento a una dichiarazione pubblicata sul sito web della società l’8 dicembre, condividendo alcuni dettagli dell’indagine, tra cui il fatto che una chiave digitale era stata compromessa nell’incidente e che un’indagine era in corso.
Questa dichiarazione è stata aggiornata l’ultima volta il 18 dicembre.
Tom Hegel, un ricercatore di minacce presso la società di sicurezza informatica SentinelOne, ha affermato che l’incidente di sicurezza segnalato “si adatta a un modello di operazioni ben documentato da parte di gruppi legati alla RPC (Repubblica popolare cinese), con un’attenzione particolare all’abuso di servizi di sicurezza affidabili terze parti – un metodo che è diventato sempre più importante negli ultimi anni”, ha detto, usando l’acronimo di Cina.