Tesouro dos EUA diz que hackers chineses roubaram documentos em um "grande incidente"

De acordo com a carta, os hackers "obtiveram acesso a uma chave usada pelo fornecedor para proteger um serviço baseado em nuvem usado para fornecer suporte técnico remoto aos usuários finais dos Escritórios do Departamento do Tesouro (DO). Com acesso à chave roubada, o agente da ameaça conseguiu anular a segurança do serviço, acessar remotamente determinadas estações de trabalho de usuários do DO e acessar determinados documentos não classificados mantidos por esses usuários".

"Com base nos indicadores disponíveis, o incidente foi atribuído a um agente de Ameaça Persistente Avançada (APT) patrocinado pelo Estado chinês", diz a carta.

O Departamento do Tesouro disse que foi alertado sobre a violação pela BeyondTrust em 8 de dezembro e que estava trabalhando com a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA, na sigla em inglês) e o FBI para avaliar o impacto do ataque.

Funcionários do Tesouro não responderam imediatamente a um e-mail solicitando mais detalhes sobre a invasão. O FBI não respondeu imediatamente aos pedidos de comentário da Reuters, enquanto a CISA encaminhou as perguntas de volta ao Departamento do Tesouro.

"A China sempre se opôs a todas as formas de ataques de hackers", disse Mao Ning, porta-voz do Ministério das Relações Exteriores da China, em uma coletiva de imprensa na terça-feira.

Um porta-voz da Embaixada da China em Washington rejeitou qualquer responsabilidade pelo ataque, dizendo que Pequim "se opõe firmemente aos ataques de difamação dos EUA contra a China sem qualquer base factual".

Um porta-voz da BeyondTrust disse à Reuters em um e-mail que a empresa "identificou anteriormente e tomou medidas para resolver um incidente de segurança no início de dezembro de 2024" envolvendo seu produto de suporte remoto.

A BeyondTrust "notificou o número limitado de clientes que estavam envolvidos" e as autoridades policiais foram notificadas, disse o porta-voz. "A BeyondTrust tem apoiado os esforços de investigação".

O porta-voz se referiu a uma declaração publicada no site da empresa em 8 de dezembro, compartilhando alguns detalhes da investigação, inclusive que uma chave digital havia sido comprometida no incidente e que uma investigação estava em andamento. Essa declaração foi atualizada pela última vez em 18 de dezembro.

Tom Hegel, pesquisador de ameaças da empresa de segurança cibernética SentinelOne, disse que o incidente de segurança relatado "se encaixa em um padrão bem documentado de operações de grupos ligados à RPC, com foco especial no abuso de serviços de terceiros confiáveis -- um método que se tornou cada vez mais proeminente nos últimos anos", disse ele, usando um acrônimo para a República Popular da China.

(Reportagem de Raphael Satter em Washington, AJ Vicens em Detroit e Akash Sriram em Bengaluru; reportagem adicional de Liz Lee em Pequim)