Ciberataque al Departamento del Tesoro: Análisis de BeyondTrust 

Silverfort Imagen
Tarjetas fotográficas_1200x630_0011_13
Índice

Comparte este artículo:

TL; DR 

  • En diciembre de 2024, el Departamento del Tesoro de Estados Unidos fue blanco de un ciberataque atribuido a un grupo de Amenaza Persistente Avanzada (APT) patrocinado por el Estado chino. 
  • Los piratas informáticos explotaron vulnerabilidades de inyección de comandos (CVE-2024-12356 y CVE-2024-12686) en el software de soporte remoto del proveedor externo BeyondTrust. 
  • Los atacantes obtuvieron acceso remoto no autorizado a las estaciones de trabajo del Tesoro y recuperaron documentos no clasificados. 
  • El software de BeyondTrust sirvió como punto de entrada, pero los sistemas de Tesorería fueron el foco. 
  • Al igual que los puntos finales y la nube, necesita proteger su infraestructura de identidad. Aumente su seguridad de identidad y prevenir incidentes como este con una gestión de acceso basada en riesgos y una seguridad de acceso privilegiado mejorada. 

***

En diciembre de 2024, el Departamento del Tesoro de Estados Unidos fue víctima de un sofisticado ciberataque orquestado por un grupo APT patrocinado por el Estado chino. Estos grupos son conocidos por atacar a entidades gubernamentales, infraestructuras críticas y organizaciones del sector privado para robar propiedad intelectual y realizar espionaje. 

Punto de entrada: software de soporte remoto vulnerable 

Los atacantes explotaron dos vulnerabilidades de inyección de comandos (CVE-2024-12356 y CVE-2024-12686) en el software de soporte remoto de BeyondTrust. Este software se utiliza habitualmente para el acceso remoto y el soporte de TI, lo que lo convierte en un objetivo de gran valor. Los atacantes utilizaron las vulnerabilidades para eludir autenticación, ejecutar comandos no autorizados y obtener el control de los sistemas conectados. Utilizando una clave API robada, los piratas informáticos accedieron a las estaciones de trabajo del Tesoro, recuperaron documentos no clasificados y posiblemente investigaron otras partes de la red. 

Las tácticas apuntan al grupo APT patrocinado por el estado chino 

El ataque se ha atribuido a un grupo APT patrocinado por el Estado chino, cuyo nombre no se ha dado a conocer, aunque China niega su implicación. Los grupos APT chinos tienen antecedentes de: 

  • Explotar vulnerabilidades de software para acceso persistente 
  • Realizar campañas de espionaje contra sectores gubernamentales y de defensa.  
  • apuntando a la propiedad intelectual de industrias como la tecnología y la energía. 

Esta violación se alinea con tácticas anteriores empleadas por grupos APT patrocinados por el estado de China para explotar vulnerabilidades de terceros y aprovecharlas para una infiltración más amplia en la red. 

Impacto y lecciones aprendidas 

La filtración se limitó a los sistemas no clasificados del Tesoro, sin evidencia de exposición de datos clasificados. Sin embargo, subraya la importancia de reducir su ataque de identidad Supervise su seguridad con una estrategia de defensa en profundidad que superponga controles de seguridad probados con software de terceros; por ejemplo, MFA o seguridad de acceso privilegiado automatizada. Esto le ayudará a abordar las vulnerabilidades rápidamente y, al mismo tiempo, a colocar múltiples líneas de defensa alrededor de su acceso privilegiado y sus identidades.  

Si está evaluando su vulnerabilidad a este ataque y las tácticas conocidas del grupo APT, aquí hay algunas cosas que puede hacer:  

  • Transición a la gestión de acceso basada en riesgos y a la seguridad de acceso privilegiado mejorada (PAS). 
  • Realice evaluaciones de vulnerabilidad periódicas y siempre corrija las vulnerabilidades o los requisitos en el software de terceros rápidamente. 
  • Implementar una arquitectura de confianza cero y MFA
  • Monitoree continuamente las amenazas y anomalías en torno a las identidades privilegiadas; en otras palabras, asegúrese de que su SOC o MDR aumente el nivel de sensibilidad en torno a las identidades privilegiadas y tenga todos los datos y controles para detener rápidamente las tomas de control.  

Este incidente sirve como un recordatorio crítico de los riesgos que plantean las vulnerabilidades de la cadena de suministro y la necesidad de adoptar medidas proactivas de ciberseguridad. Solicita una demo para descubrir cómo aumentar la seguridad de su identidad y prevenir incidentes como este. 

Nos atrevimos a llevar la seguridad de la identidad aún más lejos.

Descubra lo que es posible.

Configure una demostración para ver el Silverfort Plataforma de seguridad de identidad en acción.

Programe una demostración