CNN
–
O Departamento do Tesouro dos EUA notificou os legisladores na segunda-feira que um ator patrocinado pelo Estado da China se infiltrou nas estações de trabalho do Tesouro, no que as autoridades descrevem como um “grande incidente”.
Numa carta analisada pela CNN, um funcionário do Tesouro disse que foi informado por um fornecedor de serviços de software terceirizado em 8 de dezembro que um agente de ameaça usou uma chave roubada para acessar remotamente certas estações de trabalho do Tesouro e documentos não confidenciais.
“Com base nos indicadores disponíveis, o incidente foi atribuído a um ator de Ameaça Persistente Avançada (APT) patrocinado pelo Estado chinês”, escreveu Aditi Hardikar, secretário assistente de gestão do Tesouro dos EUA, na carta.
Um porta-voz do Tesouro disse em comunicado à CNN que o serviço comprometido foi colocado offline e as autoridades estão trabalhando com as autoridades policiais e com a Agência de Segurança Cibernética e de Infraestrutura (CISA).
“Não há evidências que indiquem que o autor da ameaça tenha acesso contínuo aos sistemas ou informações do Tesouro”, disse o porta-voz do Tesouro.
Autoridades do Tesouro planejam realizar um briefing confidencial sobre a violação na próxima semana com funcionários do Comitê de Serviços Financeiros da Câmara, disse um funcionário sênior do comitê à CNN. O momento exato do briefing ainda não foi agendado.
De acordo com a carta à liderança do Comitê Bancário do Senado, o provedor de serviços de software terceirizado, BeyondTrust, disse que os hackers obtiveram acesso a uma chave usada pelo fornecedor para proteger um serviço baseado em nuvem que o Tesouro usa para suporte técnico.
“Com acesso à chave roubada, o autor da ameaça foi capaz de ignorar a segurança do serviço, acessar remotamente certas estações de trabalho de usuários do Tesouro (Escritório Departamental) e acessar certos documentos não confidenciais mantidos por esses usuários”, disse a carta do Tesouro.
A BeyondTrust disse que identificou um incidente de segurança ocorrido em 2 de dezembro envolvendo seu produto de suporte remoto e notificou o “número limitado” de clientes envolvidos depois que a empresa confirmou em 5 de dezembro que havia confirmado “comportamento anômalo” no produto.
Isto informações postadas sobre o incidente em seu site em 8 de dezembro, e vem atualizando seu progresso na investigação da causa e na mitigação de ameaças futuras. A empresa disse que suspendeu e colocou em quarentena as instâncias afetadas do produto e contratou uma equipe externa de segurança cibernética para investigar.
“Nenhum outro produto da BeyondTrust esteve envolvido”, disse um porta-voz da Beyond Trust. “As autoridades foram notificadas e a BeyondTrust tem apoiado os esforços investigativos.”
Não está claro exatamente quantas estações de trabalho foram infiltradas. No entanto, o porta-voz do Tesouro disse no comunicado que “várias” estações de trabalho de usuários do Tesouro foram acessadas.
Hardikar disse na carta que, com base na política do Tesouro, as invasões atribuídas a agentes avançados de ameaças persistentes são consideradas um “grande incidente de segurança cibernética”. Os funcionários do Tesouro são obrigados a fornecer uma atualização num relatório suplementar de 30 dias.
Não está claro se o Tesouro determinou totalmente a extensão dos danos causados pela violação.
Hardikar escreveu na carta que, num esforço para “caracterizar completamente o incidente e determinar o seu impacto global”, o Tesouro tem trabalhado com a CISA, o FBI, agências de inteligência dos EUA e investigadores forenses terceiros.
“A CISA foi acionada imediatamente após o conhecimento do ataque pelo Tesouro, e os restantes órgãos governamentais foram contactados assim que a extensão do ataque se tornou evidente”, dizia a carta.
Esta história foi atualizada com desenvolvimentos e contexto adicionais.
