Des acteurs de la menace parrainés par l’État chinois ont piraté le Département du Trésor américain après avoir violé une plate-forme d’assistance à distance utilisée par l’agence fédérale.
Dans une lettre envoyée aux législateurs et vue par le New York Times, le Département du Trésor a averti les législateurs qu’il avait été informé pour la première fois de la violation le 8 décembre par son fournisseur BeyondTrust.
BeyondTrust est une société de gestion des accès privilégiés qui propose également une plate-forme SaaS d’assistance à distance qui peut être utilisée pour accéder aux ordinateurs à distance.
« Sur la base des indicateurs disponibles, l’incident a été attribué à un acteur de Menace persistante avancée (APT) parrainé par l’État chinois », lit-on dans la lettre consultée par le New York Times.
« Conformément à la politique du Trésor, les intrusions attribuables à une APT sont considérées comme un incident majeur de cybersécurité. »
Plus tôt ce mois-ci, Breachtrace a signalé que BeyondTrust avait été violé, les acteurs de la menace ayant accès à certaines des instances SaaS d’assistance à distance de l’entreprise.
Dans le cadre de cette violation, les auteurs de la menace ont utilisé une clé API SaaS de support à distance volée pour réinitialiser les mots de passe des comptes d’applications locales et obtenir un accès privilégié supplémentaire aux systèmes.
Après avoir enquêté sur l’attaque, BeyondTrust a découvert deux vulnérabilités zero-day, CVE-2024-12356 et CVE-2024-12686, qui permettaient aux auteurs de menaces de violer et de prendre le contrôle des instances SaaS d’assistance à distance.
Comme le département du Trésor était client de l’une de ces instances compromises, les auteurs de la menace ont pu utiliser la plate-forme pour accéder aux ordinateurs de l’agence et voler des documents à distance.
Une fois que BeyondTrust a détecté la violation, elle a fermé toutes les instances compromises et révoqué la clé API volée.
La lettre indique que le FBI et la CISA ont aidé à l’enquête sur la violation du Département du Trésor, et qu’il n’y a aucune preuve que les acteurs de la menace chinoise aient toujours accès aux ordinateurs de l’agence maintenant que les instances compromises ont été fermées.
Des acteurs de la menace parrainés par l’État chinois nommés « Salt Typhoon » ont également été liés aux récents piratages de neuf sociétés de télécommunications américaines, dont Verizon, AT&T, Lument et T-Mobile. Les acteurs de la menace auraient violé des entreprises de télécommunications dans des dizaines d’autres pays.
Les auteurs de menaces ont utilisé cet accès pour cibler les messages texte, les messages vocaux et les appels téléphoniques des personnes ciblées, et pour accéder aux informations d’écoute électronique des personnes faisant l’objet d’une enquête par les forces de l’ordre.
Depuis cette vague de violations des télécommunications, la CISA a exhorté les hauts fonctionnaires du gouvernement à passer à des applications de messagerie cryptées de bout en bout comme Signal pour réduire les risques d’interception des communications.
Le gouvernement américain aurait l’intention d’interdire les dernières opérations américaines actives de China Telecom en réponse aux piratages des télécommunications.
Breachtrace a envoyé d’autres questions au département d’État sur la violation, mais n’a pas encore reçu de réponse.