El Departamento del Tesoro de los Estados Unidos ha confirmado que fue víctima de un ataque cibernético por parte de actores de amenazas avanzadas patrocinados por el estado chino, conocidos como Salt Typhoon. Este grupo logró comprometer sistemas de la agencia federal al explotar vulnerabilidades en una plataforma de soporte remoto proporcionada por BeyondTrust, una empresa líder en gestión de accesos privilegiados.
Detalles del Ataque
El incidente se detectó el 8 de diciembre de 2024, cuando BeyondTrust notificó al Departamento del Tesoro sobre una brecha en su servicio SaaS de soporte remoto. Los atacantes aprovecharon dos vulnerabilidades día cero identificadas como CVE-2024-12356 y CVE-2024-12686, que les permitieron:
- Restablecer contraseñas de cuentas locales de la aplicación.
- Acceder de manera privilegiada a sistemas críticos.
- Robar documentos sensibles del Departamento del Tesoro.
Además, los atacantes utilizaron una clave API robada para manipular las credenciales de acceso y escalar privilegios dentro de la plataforma comprometida.
Acciones de Contención
Tras detectar la intrusión, BeyondTrust:
- Cerró todas las instancias comprometidas de su servicio de soporte remoto.
- Revocó la clave API utilizada en el ataque.
- Colaboró con el FBI y CISA para contener el impacto y prevenir nuevos accesos no autorizados.
Hasta el momento, no hay evidencia de que los atacantes mantengan acceso a los sistemas del Departamento del Tesoro.
Implicaciones y Riesgos Adicionales
Este ataque se suma a una serie de brechas atribuidas a Salt Typhoon, quienes también comprometieron redes de telecomunicaciones en Estados Unidos y otros países. Entre las compañías afectadas se incluyen Verizon, AT&T, T-Mobile y Lumen.
A través de estos ataques, los ciberdelincuentes obtuvieron acceso a:
- Mensajes de texto, correos de voz y llamadas telefónicas de individuos específicos.
- Información de intercepciones legales de investigaciones en curso.
Como medida de seguridad, la CISA ha recomendado el uso de aplicaciones de mensajería cifrada de extremo a extremo, como Signal, para proteger las comunicaciones sensibles.
Lecciones Aprendidas y Recomendaciones Empresariales
El caso destaca la importancia de proteger las plataformas de acceso remoto y servicios SaaS con estrategias robustas. Desde Data Defender, recomendamos las siguientes prácticas:
- Auditorías regulares de seguridad: Identificar y mitigar vulnerabilidades críticas en sistemas y servicios.
- Monitoreo constante de accesos privilegiados: Detectar actividades inusuales en tiempo real.
- Implementación de autenticación multifactor (MFA): Añadir una capa adicional de seguridad a las credenciales.
- Planes de respuesta a incidentes: Diseñar estrategias claras para contener y remediar brechas de seguridad.
Conclusión
Este ataque al Departamento del Tesoro subraya el nivel de sofisticación de los actores patrocinados por estados y la creciente necesidad de fortalecer la ciberseguridad empresarial. Proteger la información crítica debe ser una prioridad para todas las organizaciones que utilicen plataformas SaaS y tecnologías de acceso remoto.