Hackers patrocinados pelo Estado chinês violaram as proteções de segurança dos computadores do Departamento do Tesouro dos EUA neste mês e roubaram documentos, no que o Tesouro chamou de um “incidente grave”, segundo carta a legisladores que funcionários do Tesouro encaminharam à Reuters na segunda-feira (30).

Os hackers comprometeram o provedor de serviços de segurança cibernética terceirizado BeyondTrust e conseguiram acessar documentos não classificados, relata a carta.

Segundo o documento, os hackers “obtiveram acesso a uma chave usada pelo fornecedor para proteger um serviço baseado em nuvem usado para fornecer suporte técnico remoto aos usuários finais dos Escritórios do Departamento do Tesouro (DO). Com acesso à chave roubada, o agente da ameaça conseguiu anular a segurança do serviço, acessar remotamente determinadas estações de trabalho de usuários do DO e acessar determinados documentos não classificados mantidos por esses usuários”.

“Com base nos indicadores disponíveis, o incidente foi atribuído a um agente de Ameaça Persistente Avançada (APT) patrocinado pelo Estado chinês”, diz a carta.

O Departamento do Tesouro informou que foi alertado sobre a violação pela BeyondTrust em 8 de dezembro e que estava trabalhando com a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA, na sigla em inglês) e o FBI para avaliar o impacto do ataque.

Funcionários do Tesouro não responderam imediatamente a um e-mail solicitando mais detalhes sobre a invasão.

O FBI não respondeu imediatamente aos pedidos de comentário da Reuters, enquanto a CISA encaminhou as perguntas de volta ao Departamento do Tesouro.

China nega acusações

“A China sempre se opôs a todas as formas de ataques de hackers”, declarou Mao Ning, porta-voz do Ministério das Relações Exteriores da China, em uma coletiva de imprensa nesta terça-feira (31).

Um porta-voz da Embaixada da China em Washington rejeitou qualquer responsabilidade pelo ataque, ressaltando que Pequim “se opõe firmemente aos ataques de difamação dos EUA contra a China sem qualquer base factual”.

O porta-voz da BeyondTrust contou à Reuters em um e-mail que a empresa “identificou anteriormente e tomou medidas para resolver um incidente de segurança no início de dezembro de 2024” envolvendo seu produto de suporte remoto.

O provedor “notificou o número limitado de clientes que estavam envolvidos” e as autoridades policiais foram notificadas, explicou o porta-voz. “A BeyondTrust tem apoiado os esforços de investigação”.

O porta-voz se referiu a uma declaração publicada no site da empresa em 8 de dezembro, compartilhando alguns detalhes da investigação, inclusive que uma chave digital havia sido comprometida no incidente e uma investigação estava em andamento.

Essa declaração foi atualizada pela última vez em 18 de dezembro.

Tom Hegel, pesquisador de ameaças da empresa de segurança cibernética SentinelOne, afirmou que o incidente de segurança relatado “se encaixa em um padrão bem documentado de operações de grupos ligados à RPC (República Popular da China), com foco especial no abuso de serviços de terceiros confiáveis — um método que se tornou cada vez mais proeminente nos últimos anos”, falou, usando um acrônimo para a China.