Des pirates informatiques soutenus par l’État chinois, connus sous le nom de Silk Typhoon, ont été liés au piratage de l’Office of Foreign Assets Control (OFAC) des États-Unis début décembre.
Le mois dernier, Breachtrace a rapporté que le Trésor avait divulgué un incident de cybersécurité important. Les attaquants ont utilisé une clé API SaaS d’assistance à distance volée pour compromettre une instance BeyondTrust utilisée par la Trésorerie, leur permettant de violer le réseau du département.
Les auteurs de la menace ont également piraté le Bureau de la recherche financière du Trésor, mais l’impact de cette violation est toujours en cours d’évaluation. Cependant, il n’y avait aucune preuve que les pirates chinois aient maintenu l’accès aux systèmes de Trésorerie après la fermeture de l’instance BeyondTrust compromise. CISA a également déclaré lundi que la violation du Département du Trésor n’avait pas d’impact sur les autres agences fédérales.
Dans une lettre envoyée au Congrès la semaine dernière, le Trésor a déclaré que son fournisseur d’assistance à distance, BeyondTrust, l’avait d’abord informé de la faille de sécurité le 8 décembre. Depuis lors, des responsables américains ont révélé que les pirates ciblaient spécifiquement l’OFAC—qui administre et applique les programmes de sanctions commerciales et économiques-et visaient probablement à recueillir des renseignements sur les personnes et organisations chinoises que les États-Unis pourraient envisager de sanctionner.
Mercredi, un rapport de Bloomberg a confirmé cette hypothèse et attribué l’attaque au groupe de piratage Silk Typhoon. Selon deux personnes proches du dossier, le groupe « aurait volé une clé numérique à BeyondTrust Inc., un fournisseur de services tiers, et l’a utilisé pour accéder à des informations non classifiées relatives à d’éventuelles sanctions et à d’autres documents. »
Silk Typhoon (également connu sous le nom de Hafnium) est un groupe de piratage informatique chinois connu pour attaquer un large éventail de cibles aux États-Unis, en Australie, au Japon et au Vietnam, y compris des entrepreneurs de la défense, des groupes de réflexion sur les politiques et des organisations non gouvernementales (ONG) ainsi que des soins de santé, des cabinets d’avocats et des organisations d’enseignement supérieur.
Les campagnes de cyberespionnage de ce groupe de menaces persistantes avancées (APT) se concentrent principalement sur le vol de données et la reconnaissance, en utilisant des vulnérabilités zero-day et des outils tels que le shell Web China Chopper.
Hafnium est devenu plus largement connu en 2021 après avoir exploité les failles zero-day de Microsoft Exchange Server( collectivement connues sous le nom de ProxyLogon), compromettant environ 68 500 serveurs Exchange au moment de la publication des correctifs de sécurité.
Selon le même rapport de Bloomberg, l’administration Biden élabore également un décret visant à renforcer les défenses de cybersécurité du gouvernement américain.
L’ordonnance exigerait la mise en œuvre d’une « authentification et d’un cryptage forts de l’identité » et l’élaboration de nouvelles directives pour les fournisseurs de services cloud. Ces directives imposeraient l’utilisation d’une authentification multifacteur, de mots de passe complexes et du stockage de clés cryptographiques à l’aide de clés de sécurité matérielles.