Ataque cibernético ao Departamento do Tesouro: Análises da BeyondTrust sobre o ataque 

TL, DR 

• O Departamento do Tesouro dos EUA foi alvo de um ataque cibernético em dezembro de 2024 atribuído a um grupo de Ameaça Persistente Avançada (APT) patrocinado pelo estado chinês. 

• Hackers exploraram vulnerabilidades de injeção de comando (CVE-2024-12356 e CVE-2024-12686) no software de suporte remoto do fornecedor terceirizado BeyondTrust. 

• Os invasores obtiveram acesso remoto não autorizado às estações de trabalho do Tesouro, recuperando documentos não confidenciais. 

• O software da BeyondTrust serviu como ponto de entrada, mas os sistemas do Tesouro foram o foco. 

• Assim como o endpoint e a nuvem, você precisa proteger seu infraestrutura de identidade. Aumente seu segurança de identidade e evitar incidentes como esse com gerenciamento de acesso baseado em risco e segurança de acesso privilegiado aprimorada. 

***

Em dezembro de 2024, o Departamento do Tesouro dos EUA foi vítima de um sofisticado ataque cibernético orquestrado por um grupo APT patrocinado pelo estado chinês. Esses grupos são conhecidos por mirar entidades governamentais, infraestrutura crítica e organizações do setor privado para roubar propriedade intelectual e conduzir espionagem. 

Ponto de entrada: Software de suporte remoto vulnerável 

Os invasores exploraram duas vulnerabilidades de injeção de comando (CVE-2024-12356 e CVE-2024-12686) no software de suporte remoto da BeyondTrust. Este software é comumente usado para acesso remoto e suporte de TI, tornando-o um alvo de alto valor. Os invasores usaram as vulnerabilidades para contornar autenticação, executar comandos não autorizados e obter controle sobre sistemas conectados. Usando uma chave de API roubada, os hackers acessaram estações de trabalho do Tesouro, recuperaram documentos não classificados e potencialmente sondaram outras partes da rede. 

Táticas apontam para grupo APT patrocinado pelo estado chinês 

O ataque foi atribuído a um grupo APT patrocinado pelo estado chinês não identificado, embora a China negue envolvimento. Os grupos APT chineses têm um histórico de: 

• explorando vulnerabilidades de software para acesso persistente 
• realização de campanhas de espionagem contra setores governamentais e de defesa  
• visando propriedade intelectual de setores como tecnologia e energia. 

Essa violação se alinha com táticas anteriores empregadas por grupos APT patrocinados pelo Estado chinês para explorar vulnerabilidades de terceiros e aproveitá-las para uma infiltração mais ampla na rede. 

Impacto e lições aprendidas 

A violação foi limitada a sistemas do Tesouro não classificados, sem evidências de exposição de dados classificados. No entanto, isso ressalta a importância de reduzir seu ataque de identidade superfície com uma estratégia de defesa em profundidade que coloca camadas de controles de segurança comprovados sobre software de terceiros; por exemplo, MFA ou segurança de acesso privilegiado automatizado. Isso ajudará você a lidar com vulnerabilidades rapidamente, ao mesmo tempo em que coloca várias linhas de defesa em torno de seu acesso privilegiado e identidades.  

Se você estiver avaliando sua vulnerabilidade a esse ataque e às táticas conhecidas do grupo APT, aqui estão algumas coisas que você pode fazer:  

• Transição para gerenciamento de acesso baseado em risco e segurança de acesso privilegiado (PAS) aprimorada. 

• Adicione uma camada PAS ao seu PAM (PAM - Gestão de Acesso Privilegiado) prática de diferentes fornecedores.  

• Realize avaliações regulares de vulnerabilidades e sempre corrija vulnerabilidades/requisitos de correção em softwares de terceiros rapidamente. 

• Implementar arquitetura de confiança zero e MFA. 

• Monitore continuamente ameaças e anomalias em torno de identidades privilegiadas; em outras palavras, certifique-se de que seu SOC ou MDR aumente o nível de sensibilidade em torno de identidades privilegiadas e tenha todos os dados e controles para interromper rapidamente as aquisições.  

Este incidente serve como um lembrete crítico dos riscos representados pelas vulnerabilidades da cadeia de suprimentos e da necessidade de medidas proativas de segurança cibernética. Solicite uma demonstração para descobrir como aumentar a segurança da sua identidade e evitar incidentes como esse.