Por Raphael Satter e AJ Vicens
WASHINGTON (Reuters) - Hackers patrocinados pelo Estado chinês violaram as proteções de segurança dos computadores do Departamento do Tesouro dos EUA neste mês e roubaram documentos, no que o Tesouro chamou de um "incidente grave", de acordo com uma carta a legisladores que funcionários do Tesouro encaminharam à Reuters na segunda-feira.
Os hackers comprometeram o provedor de serviços de segurança cibernética terceirizado BeyondTrust e conseguiram acessar documentos não classificados, diz a carta.
De acordo com a carta, os hackers "obtiveram acesso a uma chave usada pelo fornecedor para proteger um serviço baseado em nuvem usado para fornecer suporte técnico remoto aos usuários finais dos Escritórios do Departamento do Tesouro (DO). Com acesso à chave roubada, o agente da ameaça conseguiu anular a segurança do serviço, acessar remotamente determinadas estações de trabalho de usuários do DO e acessar determinados documentos não classificados mantidos por esses usuários".
"Com base nos indicadores disponíveis, o incidente foi atribuído a um agente de Ameaça Persistente Avançada (APT) patrocinado pelo Estado chinês", diz a carta.
O Departamento do Tesouro disse que foi alertado sobre a violação pela BeyondTrust em 8 de dezembro e que estava trabalhando com a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA, na sigla em inglês) e o FBI para avaliar o impacto do ataque.
Funcionários do Tesouro não responderam imediatamente a um e-mail solicitando mais detalhes sobre a invasão. O FBI não respondeu imediatamente aos pedidos de comentário da Reuters, enquanto a CISA encaminhou as perguntas de volta ao Departamento do Tesouro.
"A China sempre se opôs a todas as formas de ataques de hackers", disse Mao Ning, porta-voz do Ministério das Relações Exteriores da China, em uma coletiva de imprensa na terça-feira.
Um porta-voz da Embaixada da China em Washington rejeitou qualquer responsabilidade pelo ataque, dizendo que Pequim "se opõe firmemente aos ataques de difamação dos EUA contra a China sem qualquer base factual".
Um porta-voz da BeyondTrust disse à Reuters em um e-mail que a empresa "identificou anteriormente e tomou medidas para resolver um incidente de segurança no início de dezembro de 2024" envolvendo seu produto de suporte remoto.
A BeyondTrust "notificou o número limitado de clientes que estavam envolvidos" e as autoridades policiais foram notificadas, disse o porta-voz. "A BeyondTrust tem apoiado os esforços de investigação".
O porta-voz se referiu a uma declaração publicada no site da empresa em 8 de dezembro, compartilhando alguns detalhes da investigação, inclusive que uma chave digital havia sido comprometida no incidente e que uma investigação estava em andamento. Essa declaração foi atualizada pela última vez em 18 de dezembro.
Tom Hegel, pesquisador de ameaças da empresa de segurança cibernética SentinelOne, disse que o incidente de segurança relatado "se encaixa em um padrão bem documentado de operações de grupos ligados à RPC, com foco especial no abuso de serviços de terceiros confiáveis -- um método que se tornou cada vez mais proeminente nos últimos anos", disse ele, usando um acrônimo para a República Popular da China.
(Reportagem de Raphael Satter em Washington, AJ Vicens em Detroit e Akash Sriram em Bengaluru; reportagem adicional de Liz Lee em Pequim)