Un gruppo di hacker
sponsorizzato dalla Cina, noto come Advanced Persistent Threat, è riuscito a
penetrare nei sistemi del Dipartimento del Tesoro degli Stati Uniti e ad
accedere ad alcuni documenti non classificati. L’accaduto è stato rivelato da
un’informativa inviata al Congresso degli Stati Uniti.
Secondo quanto
ricostruito, gli aggressori hanno sfruttato delle vulnerabilità presenti nel
software di supporto remoto fornito dalla società BeyondTrust.
Il Dipartimento
del Tesoro, in una lettera ai legislatori, ha spiegato che l’8 dicembre
BeyondTrust ha notificato l’incidente dopo che gli hacker avevano rubato una
chiave di autenticazione, che è stata poi utilizzata per eludere le difese di
sistema e accedere alle postazioni di lavoro del Tesoro.
Nella lettera Aditi
Hardikar, assistente segretario per la gestione del Dipartimento del Tesoro, ha scritto che “il servizio
compromesso di BeyondTrust è stato disattivato e al momento non ci sono
evidenze che l’attore abbia ancora accesso alle informazioni del
Dipartimento“. Tuttavia, l’intrusione
è stata classificata come un grave incidente di sicurezza informatica.
Il Dipartimento del
Tesoro ha coinvolto l’FBI, la Cybersecurity and Infrastructure Security Agency
(CISA) e la comunità dell’intelligence, oltre a investigatori forensi privati
per valutare l’entità del danno.
BeyondTrust ha
dichiarato di essere al lavoro per aggiornare i clienti coinvolti
su “un incidente di sicurezza che ha riguardato un numero limitato di
utenti del servizio” di supporto da remoto.
Tra le vulnerabilità sfruttate
figurano la “CVE-2024-12356,” una falla critica di command injection, e la
“CVE-2024-12686,” una falla di media gravità. La CISA ha inserito la prima
nella sua lista delle vulnerabilità sfruttate conosciute il 19 dicembre.
Un attacco di command
injection sfrutta vulnerabilità nei sistemi per eseguire comandi arbitrari su
un server, spesso attraverso input non adeguatamente validati. Gli aggressori
quindi possono inserire comandi malevoli nei vari campi di inserimento dei dati
o dell’url, facendo sì che il sistema esegua operazioni non autorizzate. Questo
tipo di attacco consente di accedere a dati, modificare configurazioni o
compromettere l’intero sistema.
“Continuiamo a seguire tutti i possibili percorsi come parte dell’analisi forense, incluso il nostro lavoro con parti forensi esterne, per garantire di condurre un’indagine il più approfondita possibile“, ha aggiunto BeyondTrust. “Continuiamo inoltre a comunicare e lavorare a stretto contatto con tutti i clienti interessati noti e forniremo aggiornamenti qui fino alla conclusione della nostra indagine“.
“Non è accettabile
trovare vulnerabilità di command injection nel 2024, specialmente in prodotti
per l’accesso remoto sicuro destinati all’uso governativo“, ha commentato
Jake Williams, vicepresidente di Hunter Strategy ed ex hacker della NSA.
Secondo Williams, è
possibile che il Dipartimento del Tesoro stesse utilizzando una versione non certificata del
programma di BeyondTrust.
Il Dipartimento del
Tesoro ha promesso ulteriori dettagli nel rapporto supplementare obbligatorio
entro 30 giorni. Williams ritiene che la portata dell’incidente potrebbe essere
più ampia di quanto attualmente noto: “Mi aspetto che l’impatto vada oltre
l’accesso a pochi documenti non classificati“.
