La tensión entre Estados Unidos y China no se debilita. El último ejemplo, el Departamento del Tesoro de los Estados Unidos anunció que un pirata había logrado sortear la seguridad, acceder a un número desconocido de estaciones de trabajo y robar "ciertos documentos no clasificados". Sin embargo, el ataque fue descrito como "importante incidente de ciberseguridad".

En Una carta dirigida al Comité Senatorial para la Banca, la Vivienda y la Planificación municipal. (Comité de Banca, Vivienda y Asuntos Urbanos), el Tesoro indicó que el 8 de diciembre había sido informado por Beyondtrust que un actor de la amenaza había puesto su mano en una clave para un acceso clave seguro al soporte técnico remoto para las estaciones de trabajo del departamento. "Según los indicadores disponibles, el incidente fue otorgado a un actor en la persistente amenaza avanzada (APT) patrocinada por el estado chino", dijo el correo, que agrega que "de acuerdo con la política del Tesoro, las intrusiones atribuibles a un APT se consideran un importante incidente de seguridad cibernética". Las autoridades chinas denunciaron rápidamente estas acusaciones.

Índice
  1. Preocupaciones sobre las intenciones de los piratas afiliados a China
  2. Beyondtrust corrige a medida que avanza la investigación

Preocupaciones sobre las intenciones de los piratas afiliados a China

"Este tipo de ataque es característico de los piratas informáticos patrocinados por el estado chino que usa la cadena de suministro para atacar al gobierno estadounidense", dijo David Shipley, CEO y co -fundador de Beauceron Security, en un correo electrónico. "Sigue ataques muy exitosos sobre la solución de productividad en la nube de Microsoft, y con ataques anteriores relacionados con Rusia contra el gobierno estadounidense usando Microsoft 365 y, antes de eso, Solarwinds.» »

La carta del Tesoro indica que se ha publicado el servicio en cuestión y que la CISA (agencia de seguridad de ciberseguridad e infraestructura), el FBI, la comunidad de inteligencia y los investigadores post mortem de terceros se esfuerzan por "caracterizar completamente el incidente y determinar su impacto global". David Shipley está sorprendido por el objetivo elegido y se pregunta qué buscaban los hackers exactamente. "¿Es un espionaje simple, o estaban tratando de preparar el terreno para mantener la persistencia y perturbar las operaciones del gobierno estadounidense?" Se preguntó a sí mismo. "Estaría menos preocupado si fuera un simple espionaje", dijo. El tesoro ha prometido entregar más detalles en el informe adicional que debe proporcionar dentro de los 30 días.

Beyondtrust corrige a medida que avanza la investigación

Las investigaciones también continúan del lado de Beyondtrust, que más en profundidad estudia el alcance y el impacto del compromiso. La compañía indicó en su aviso de seguridad que el "comportamiento potencialmente anormal" que involucra a un solo cliente había sido detectado el 2 de diciembre, lo que había dado lugar a una investigación. El 5 de diciembre, confirmó este comportamiento que afectó "un número limitado" de cuerpos de soporte remoto SaaS y revocó la clave de compromiso.

Los cuerpos involucrados fueron suspendidos y cuarentados para un análisis forestal, y a los clientes se les informó y se les ofreció otro soporte remoto SaaS. Durante su encuesta, la compañía de seguridad identificó dos vulnerabilidades, una de gravedad crítica y la otra de la gravedad promedio, en su soporte remoto y productos de acceso remoto privilegiado (tanto en la nube como en el sitio). Al 16 de diciembre, las instancias de la nube se habían corregido y se habían publicado parches para las versiones administradas. Beyondtrust también se ha comprometido a realizar actualizaciones regulares a medida que avanza la investigación.