Il Tesoro degli Stati Uniti colpito da un cyberattacco collegato a un gruppo sponsorizzato dallo Stato cinese
Il Dipartimento del Tesoro degli Stati Uniti ha confermato di aver subito un significativo attacco informatico il 8 Dicembre 2024, durante il quale un aggressore cibernetico sponsorizzato dallo stato cinese ha ottenuto accesso non autorizzato ai suoi sistemi.
Di fretta? Ecco i fatti principali!
L’attaccante ha avuto accesso a postazioni di lavoro del Tesoro e a documenti non classificati eludendo le misure di sicurezza.
Gli investigatori forensi hanno confermato che la violazione era collegata a un gruppo APT sponsorizzato dallo stato cinese.
Il Dipartimento del Tesoro ha successivamente disattivato il servizio compromesso e rafforzato la sicurezza.
La violazione è stata collegata a un fornitore di software terzi, BeyondTrust, che aveva fornito servizi di supporto tecnico remoto per gli utenti finali degli Uffici Dipartimentali (DO) del Tesoro.
In una lettera ai legislatori, il Dipartimento del Tesoro ha dettagliato l’incidente e delineato le misure adottate in risposta. La violazione si è verificata quando l’attore della minaccia ha avuto accesso a una chiave utilizzata da BeyondTrust per garantire un servizio basato su cloud.
Con questa chiave, l’attaccante ha eluso le misure di sicurezza, infiltrandosi a distanza nei computer del Ministero del Tesoro e accedendo a documenti non classificati memorizzati sui sistemi interessati.
Scoperta la violazione, il Ministero del Tesoro ha immediatamente notificato l’agenzia per la Sicurezza Cibernetica e della Infrastruttura (CISA), il Federal Bureau of Investigation (FBI) e la Comunità di Intelligence.
Anche investigatori forensi di terze parti sono stati coinvolti per valutare la situazione e determinare la portata completa dell’attacco. Secondo il Tesoro, le prove disponibili collegano l’incidente a un gruppo di Minacce Persistenti Avanzate (APT) sponsorizzato dallo stato cinese.
CNN sottolinea che il numero esatto di postazioni di lavoro infiltrate rimane incerto. Tuttavia, un portavoce del Tesoro ha confermato che “diverse” postazioni di lavoro degli utenti del Tesoro sono state accessibili. Non è ancora certo se il Tesoro abbia valutato completamente l’entità del danno causato dalla violazione.
Tom Hegel, ricercatore di minacce presso la compagnia di cybersecurity SentinelOne, ha notato a Reuters che l’incidente di sicurezza segnalato si allinea con un noto modello di comportamento dei gruppi affiliati alla RPC, in particolare il loro crescente affidamento sui servizi di terze parti di fiducia, una tattica che è diventata più prevalente negli ultimi anni.
Il servizio compromesso è stato da allora disattivato e, al momento, non ci sono indicazioni che l’attore della minaccia abbia mantenuto l’accesso alle informazioni del Tesoro, secondo la lettera.
In risposta alla violazione, i funzionari del Tesoro hanno elogiato gli investimenti effettuati nell’ambito dell’Account per il Potenziamento della Cybersecurity (CEA), che ha fornito strumenti essenziali per monitorare e rispondere all’attacco.
Conformemente al Federal Information Security Modernization Act (FISMA), il Tesoro ha classificato questo incidente come un evento maggiore di cybersecurity.
Il Washington Post sottolinea che la violazione segue una serie di attacchi informatici di alto profilo attribuiti alla Cina.
All’inizio di quest’anno, il gruppo di hacker cinesi conosciuto come Salt Typhoon ha infiltrato oltre una dozzina di aziende di telecomunicazioni statunitensi, consentendo loro di intercettare telefonate e messaggi di testo, tra cui quelli del Presidente eletto Donald Trump e del Vicepresidente eletto JD Vance.
Lascia un commento
Annulla