Hackers patrocinados por el estado chino quienes violaron el Departamento del Tesoro de EE. UU. accedieron a más de 400 computadoras portátiles y de escritorio, y se interesaron especialmente en las máquinas del personal y los altos líderes centrados en sanciones, asuntos internacionales e inteligencia, según un informe de la agencia revisado por Bloomberg News.
Los piratas informáticos accedieron a los nombres de usuario y contraseñas de los empleados, así como a más de 3.000 archivos en computadoras personales no clasificadas, según el informe.
Actualización de salud de Saif Ali Khan
Eso incluía documentos de políticas y viajes, organigramas, material sobre sanciones e inversión extranjera, y datos «sensibles para las fuerzas del orden». Según los hallazgos, los perpetradores probablemente robaron material, pero no parecen haber ingresado a los sistemas de correo electrónico ni a los clasificados del Tesoro.
Los piratas informáticos también obtuvieron acceso a material sobre investigaciones realizadas por el Comité de Inversión Extranjera en Estados Unidos, que revisa las implicaciones para la seguridad nacional de algunas compras de bienes raíces e inversiones extranjeras en Estados Unidos.
El informe, fechado el miércoles y dirigido a miembros del Congreso, ofrece el panorama más completo hasta la fecha de lo que funcionarios estadounidenses dicen que fue la intrusión de un rival extranjero en una agencia central para gestionar la deuda nacional, emitir sanciones y dar forma a la política económica estadounidense.
No hay evidencia de que los piratas informáticos intentaran acechar en los sistemas del Tesoro para recopilar inteligencia a largo plazo, afirma el informe, y agrega que no había evidencia de malware en los dispositivos comprometidos.
El portavoz del Tesoro, Chris Hayden, declinó hacer comentarios el miércoles. Los representantes del FBI no respondieron de inmediato a una solicitud de comentarios.
El 8 de diciembre, el contratista de software BeyondTrust Corp. notificó al Tesoro que el departamento había sido atacado mediante un hackeo de las redes de la empresa. El departamento informó de la violación a la Agencia de Seguridad de Infraestructura y Ciberseguridad una hora después de confirmarla, según el informe, y luego buscó ayuda del FBI, agencias de inteligencia y otros grupos de respuesta a incidentes.
Los investigadores atribuyeron el ataque a un actor patrocinado por el estado chino conocido entre los profesionales de la ciberseguridad como Tifón de seda y UNC5221, según el informe. Descubrieron que los piratas informáticos priorizaron la recopilación de documentos y operaron fuera del horario laboral normal para evitar ser detectados, según el informe.
Los funcionarios chinos han negado durante mucho tiempo las acusaciones estadounidenses de ciberataques patrocinados por el Estado, y un portavoz del Ministerio de Asuntos Exteriores calificó el mes pasado las afirmaciones de que China estaba detrás del ataque al Tesoro como “injustificadas e infundadas”.
Los piratas informáticos accedieron a un total de 419 computadoras desde finales de septiembre hasta mediados de noviembre y se interesaron principalmente en la Oficina de Control de Activos Extranjeros, la Oficina de Asuntos Internacionales y la Oficina de Inteligencia y Análisis, según el informe. Dice que también se centraron en «ciertos altos funcionarios» de la oficina central del Departamento del Tesoro y también tomaron documentos financieros personales, registros bancarios y de seguros de los empleados.
Los funcionarios de contrainteligencia todavía están realizando una “evaluación integral de los daños”, afirma el informe.
Los empleados del Tesoro informarán al personal del Comité Senatorial de Banca, Vivienda y Asuntos Urbanos el jueves, dijo un asistente del Senado a Bloomberg News. El senador republicano Tim Scott de Carolina del Sur, que preside el comité, había pedido originalmente que la sesión informativa se llevara a cabo antes del 10 de enero. El Tesoro informó por primera vez al Congreso sobre la infracción en una carta del 30 de diciembre, caracterizándola como una “gran violación”. incidente de ciberseguridad.”
Después de enterarse de la violación, el personal del Tesoro desconectó los sistemas de BeyondTrust, que permanecen fuera de línea, según la agencia. La empresa con sede en Johns Creek, Georgia, tiene contratos con el gobierno federal por valor de más de 4 millones de dólares, según datos gubernamentales compilados por Bloomberg.
En su informe al Congreso, el Tesoro dijo que estaba buscando alternativas a BeyondTrust. «Si bien el Tesoro no tiene conocimiento inmediato de fallas higiénicas que puedan haber contribuido al compromiso de BeyondTrust, creemos que deberíamos examinar el mercado», afirma el informe.
BeyondTrust no respondió de inmediato a una solicitud de comentarios.
