Les postes de travail du Trésor américain piratés lors d’une attaque attribuée à la Chine

Lucas Morel

Une clé utilisée par le fournisseur de services tiers BeyondTrust pour sécuriser l’assistance à distance basée sur le cloud a été volée et utilisée pour accéder à des données non classifiées, a déclaré le Trésor aux législateurs.

Le département américain du Trésor a révélé lundi qu’un attaquant avait réussi à contourner la sécurité, à accéder à un nombre non divulgué de postes de travail du Trésor et à voler « certains documents non classifiés », dans ce qu’il a qualifié d’« incident majeur de cybersécurité ».

Dans une lettre adressée à la commission des banques, du logement et des affaires urbaines du Sénat américain, le département du Trésor a déclaré avoir été informé par BeyondTrust le 8 décembre qu’un acteur malveillant avait obtenu l’accès à une clé garantissant l’accès à l’assistance technique à distance aux postes de travail du Trésor.

« Sur la base des indicateurs disponibles, l’incident a été attribué à un acteur de menace persistante avancée (APT) parrainé par l’État chinois », indique la lettre, ajoutant : « conformément à la politique du Trésor, les intrusions attribuables à une APT sont considérées comme un incident majeur de cybersécurité. .»

« Cela correspond à un modèle d’équipes de piratage parrainées par l’État chinois qui utilisent la chaîne d’approvisionnement pour s’en prendre au gouvernement américain », a déclaré David Shipley, PDG et cofondateur de Beauceron Security, dans un e-mail. « Cela fait suite à des attaques très réussies contre la solution cloud de productivité de Microsoft et à des attaques précédentes liées à la Russie contre le gouvernement américain utilisant Microsoft 365 et, avant cela, SolarWinds. »

La lettre du Trésor indiquait que le service concerné avait été mis hors ligne et que la Cybersecurity and Infrastructure Security Agency (CISA), le Federal Bureau of Investigation (FBI), la communauté du renseignement et des enquêteurs légistes tiers s’efforçaient de « caractériser pleinement le incident et déterminer son impact global.

« Ce qui est intriguant, c’est ce qu’ils auraient pu rechercher », a observé Shipley. « Qu’est-ce que c’est, du simple espionnage ? Ou essayaient-ils de jeter les bases pour maintenir leur persévérance et perturber les opérations du gouvernement américain ? Je serais moins inquiet s’il s’agissait simplement d’espionnage vanille.

Le Trésor a promis plus de détails dans son rapport supplémentaire de 30 jours.

La chronologie

Les enquêtes se poursuivent également du côté de BeyondTrust, alors que la société approfondit la portée et l’impact de la compromission.

La société a déclaré dans son avis de sécurité qu’un « comportement potentiellement anormal » avait été détecté le 2 décembre, impliquant un seul client, ce qui a donné lieu à une enquête. Le 5 décembre, il a confirmé le comportement, qui affectait ce qu’il a décrit comme un nombre « limité » d’instances SaaS de support à distance, et a révoqué la clé compromise. Les instances concernées ont été suspendues et mises en quarantaine pour analyse médico-légale, et les clients ont été informés et se sont vu proposer d’autres instances SaaS de support à distance.

Au cours de son enquête, la société a déclaré avoir identifié deux vulnérabilités, une de gravité critique et une de taille moyenne, dans ses produits de support à distance et d’accès à distance privilégié (à la fois dans le cloud et sur site). Au 16 décembre, les instances cloud avaient été corrigées et des correctifs publiés pour les versions auto-hébergées.

BeyondTrust s’est également engagé à effectuer des mises à jour régulières au fur et à mesure de l’avancement de l’enquête.