Au-delà de la confiance
Aux États-Unis, le département du Trésor indique avoir subi une cyberattaque dans laquelle des acteurs liés à la Chine ont réussi à accéder aux ordinateurs de plusieurs employés et à des documents non classifiés.
Le Trésor des États-Unis déclare avoir été visé en décembre par une cyberattaque dont les auteurs sont liés à la Chine. En accédant à plusieurs ordinateurs d’employés, les attaquants ont réussi à mettre la main sur des documents non classifiés.
Clé volée
Dans une lettre adressée au Sénat et signalée par Reuters, le Trésor indique que l’attaque a été réalisée via Beyond Trust, un fournisseur tiers de services de sécurité, et la qualifie d’ « incident majeur ». Les pirates auraient réussi à récupérer une clé utilisée par l’entreprise pour fournir de l’assistance technique à distance aux utilisateurs finaux.
Ceci leur a permis de passer outre les systèmes de sécurité et d’accéder à plusieurs équipements et aux documents qui y étaient stockés. Le Trésor indique travailler de concert avec la Cybersecurity and Infrastructure Agency (CISA) et le Federal Bureau of investigation (FBI).
Quelques jours avant l’annonce, Beyond Trust avait fait savoir que son logiciel était victime d’une intrusion qui avait permis à des acteurs malveillants de s’introduire dans certaines instances SaaS d’assistance à distance. Elle indique que la clé API a été immédiatement révoquée.
L’enquête a permis de découvrir deux failles dans les produits Privileged Remote Access et Remote Support de BeyondTrust. La première, « CVE-2024-12356 », est une vulnérabilité critique d’injection de commande, et la seconde, « CVE-2024-12686 », une vulnérabilité d’injection de commande de moyenne gravité. La première a été ajoutée à la liste du CISA des vulnérabilités connues et exploitées, l’agence citant des preuves d’exploitations actives.
Attaques multiples
L’attaque du département fédéral a été attribuée à des acteurs APT (Advanced Persistent Threat) liés à l’État chinois. Un représentant de l’ambassade de Chine à Washington a réfuté auprès de Reuters la responsabilité d’une telle attaque.
Elle survient alors que neuf opérateurs de télécommunications ont été visés par la vaste attaque Salt Typhon, elle aussi liée à la Chine. Depuis début octobre, les alertes se succèdent au sujet de cette campagne, qui serait active depuis 2020.
Auprès de The Verge, un porte-parole du Trésor déclare que le service compromis de BeyondTrust « a été mis hors ligne » et qu’il n’existe « aucune preuve indiquant que les acteurs malveillants aient toujours accès aux systèmes ou aux informations » du ministère. Le vice-président de la société de cybersécurité Hunter Strategy indique de son côté à Wired s’attendre à ce que l’impact de l’attaque soit plus important que ce qui est actuellement public.