La tension entre les Etats-Unis et la Chine ne faiblit pas. Dernier exemple en date, le département américain du Trésor a annoncé qu'un pirate avait réussi à contourner la sécurité, à accéder à un nombre non divulgué de stations de travail et à voler « certains documents non classifiés ». L'attaque a quand même été qualifiée d'« incident de cybersécurité majeur ».

Dans une lettre adressée au comité sénatorial des affaires bancaires, d'habitation et d'urbanisme (Committee on Banking, Housing and Urban Affairs), le Trésor a indiqué que le 8 décembre, il avait été informé par BeyondTrust qu'un acteur de la menace avait mis la main sur une clé sécurisant l'accès au support technique à distance des postes de travail du département. « Sur la base des indicateurs disponibles, l'incident a été attribué à un acteur de la menace persistante avancée (APT) parrainé par l'État chinois », précise le courrier, qui ajoute que « conformément à la politique du Trésor, les intrusions attribuables à un APT sont considérées comme un incident de cybersécurité majeur ». Les autorités chinoises ont rapidement dénoncé ces accusations.

Des inquiétudes sur les intentions des pirates affiliés à la Chine

« Ce genre d’attaque est caractéristique des pirates informatiques parrainés par l'État chinois qui utilisent la supply chain pour s'en prendre au gouvernement américain », a déclaré David Shipley, CEO et cofondateur de Beauceron Security, dans un courriel. « Elle fait suite à des attaques très réussies contre la solution de productivité dans le cloud de Microsoft, et à des attaques antérieures liées à la Russie contre le gouvernement américain utilisant Microsoft 365 et, avant cela, SolarWinds. »

La lettre du Trésor indique que le service concerné a été mis hors ligne et que la CISA (Cybersecurity and Infrastructure Security Agency), le FBI, la communauté du renseignement et des enquêteurs post-mortem tiers s'efforcent de « caractériser pleinement l'incident et d'en déterminer l'impact global ». David Shipley s’étonne de la cible choisie et se demande ce que les pirates recherchaient exactement. « S'agit-il d'un simple espionnage, ou essayaient-ils de préparer le terrain pour maintenir la persistance et perturber les opérations du gouvernement américain ? », s’est-il interrogé. « Je serais moins inquiet s'il s'agissait d'un simple espionnage », a-t-il reconnu. Le Trésor a promis de livrer plus de détails dans le rapport complémentaire qu’il doit fournir d’ici 30 jours.

BeyondTrust corrige au fur et à mesure de l’enquête

Les investigations se poursuivent aussi du côté de BeyondTrust, qui étudie plus en profondeur la portée et l'impact de la compromission. L’entreprise a indiqué dans son avis de sécurité qu'un « comportement potentiellement anormal » impliquant un seul client avait été détecté le 2 décembre, ce qui avait donné lieu à une enquête. Le 5 décembre, elle a confirmé ce comportement qui affectait « un nombre limité » d'instances SaaS de support à distance et a révoqué la clé compromise.

Les instances concernées ont été suspendues et mises en quarantaine en vue d'une analyse forensique, et les clients ont été informés et se sont vus proposer d'autres instances SaaS Remote Support. Au cours de son enquête, l'entreprise de sécurité a identifié deux vulnérabilités, l'une de gravité critique et l'autre de sévérité moyenne, dans ses produits Remote Support et Privileged Remote Access (à la fois dans le cloud et sur site). Au 16 décembre, les instances cloud avaient été corrigées et des patchs avaient été publiés pour les versions managées. BeyondTrust s'est également engagé à effectuer des mises à jour régulières à mesure de l'avancement de l'enquête.