CNN —
El Departamento del Tesoro de EE.UU. notificó a los legisladores el lunes que un actor patrocinado por el Estado de China se infiltró en las estaciones de trabajo del Tesoro en lo que los funcionarios describen como un “incidente importante”.
En una carta revisada por CNN, un funcionario del Tesoro dijo que fue informado por un proveedor de servicios de software de terceros el 8 de diciembre que un actor de amenaza utilizó una clave robada para acceder remotamente a ciertas estaciones de trabajo del Tesoro y documentos no clasificados.
“Basándonos en los indicadores disponibles, el incidente se ha atribuido a una amenaza persistente avanzada (APT) patrocinada por el Estado chino”, escribió en la carta Aditi Hardikar, subsecretario de Gestión del Tesoro de EE.UU.
Un portavoz del Tesoro dijo en una declaración a CNN que el servicio comprometido ha sido desconectado y que los funcionarios están trabajando con las fuerzas del orden y la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA, por sus siglas en inglés).
“No hay pruebas que indiquen que el autor de la amenaza haya seguido accediendo a los sistemas o a la información del Tesoro”, dijo el portavoz del Tesoro.
De acuerdo con la carta a la dirección de la Comisión Bancaria del Senado, el proveedor de servicios de software de terceros, BeyondTrust, dijo que los hackers obtuvieron acceso a una clave utilizada por el proveedor para asegurar un servicio basado en la nube que el Tesoro utiliza para soporte técnico.
“Con acceso a la clave robada, el actor de la amenaza fue capaz de anular la seguridad del servicio, acceder remotamente a ciertas estaciones de trabajo de usuarios del Tesoro [Oficina Departamental] y acceder a ciertos documentos no clasificados mantenidos por esos usuarios”, decía la carta del Tesoro.
BeyondTrust no respondió inmediatamente a una solicitud de comentarios.
Se desconoce exactamente cuántas estaciones de trabajo fueron infiltradas. Sin embargo, el portavoz del Tesoro dijo en el comunicado que se accedió a “varias” estaciones de trabajo de usuarios del Tesoro.
Hardikar dijo en la carta que, según la política del Tesoro, las violaciones atribuidas a actores de amenazas persistentes avanzadas se consideran un “incidente grave de ciberseguridad”. Los funcionarios del Tesoro están obligados a proporcionar una actualización en un informe complementario de 30 días.
Se desconoce también si el Tesoro ha determinado plenamente el alcance de los daños causados por el incidente.
Hardikar escribió en la carta que, en un esfuerzo por “describir completamente el incidente y determinar su impacto global”, el Tesoro ha estado trabajando con CISA, el FBI, las agencias de inteligencia de EE.UU. y los investigadores forenses de terceros.
“La CISA fue contratada inmediatamente después de que el Tesoro tuviera conocimiento del ataque, y el resto de los órganos de gobierno fueron contactados tan pronto como el alcance del ataque se hizo evidente”, decía la carta.
