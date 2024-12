Dopo l’accesso alle reti di nove compagnie telefoniche, il governo statunitense ha confermato un altro grave incidente di sicurezza. Ignoti cybercriminali cinesi hanno compromesso alcune workstation del Dipartimento del Tesoro, sulle quali erano presenti documenti non classificati. L’intrusione è avvenuta sfruttando due vulnerabilità del software di supporto remoto di BeyondTrust.

Accesso con chiave rubata

L’accesso è stato confermato dal Dipartimento del Tesoro attraverso una lettera (PDF) inviata a due senatori. L’incidente di sicurezza è stato notificato l’8 dicembre da BeyondTrust. I cybercriminali hanno sfruttato una chiave che protegge un servizio cloud usato per fornire supporto remoto agli uffici del Dipartimento.

La chiave ha permesso di aggirare le protezioni del servizio e quindi di accedere da remoto alle workstation e ad alcuni documenti non classificati. Il Dipartimento ha avviato un’indagine con FBI, CISA e aziende di terze parti per valutare l’impatto dell’intrusione. In base ai primi risultati, l’attacco è stato attribuito ad un gruppo cinese finanziato dal governo. Non ci sono prove che indicano la persistenza dei cybercriminali nelle workstation.

Un portavoce dell’Ambasciata ha negato il coinvolgimento della Cina. Il portavoce del Ministero degli esteri ha dichiarato che le accuse sono infondate e che sono solo false informazioni diffuse a scopi politici.

L’intrusione è avvenuta sfruttando due vulnerabilità del software di supporto remoto di BeyondTrust che ha permesso il furto della chiave API. Quest’ultima è stata subito revocata e il servizio è stato sospeso per alcuni giorni. Tra i clienti colpiti c’è anche il Dipartimento del Tesoro.