Autoridades dos Estados Unidos acusaram hackers supostamente financiados pela China de violarem as proteções de segurança dos computadores do Departamento do Tesouro americano. Os criminosos teriam roubado arquivos, numa ação que a pasta descreveu como “incidente grave”, segundo documento obtido pela agência de notícias Reuters.

Os hackers teriam comprometido o provedor terceirizado de serviços de segurança cibernética e conseguido acessar os arquivos, ainda de acordo com o documento.

Segundo o texto, os criminosos “obtiveram acesso a uma chave usada pelo fornecedor para proteger um serviço estabelecido em nuvem e que é usado para fornecer suporte técnico remoto aos usuários finais dos Escritórios do Departamento do Tesouro. Com acesso à chave roubada, o agente da ameaça conseguiu anular a segurança do serviço, acessar remotamente determinadas estações de trabalho de usuários do Tesouro e acessar determinados documentos mantidos por esses usuários”.

“Com base nos indicadores disponíveis, o incidente foi atribuído a um agente de Ameaça Persistente Avançada patrocinado pelo Estado chinês”, diz o documento.

O Departamento do Tesouro, que não especificou quais arquivos teriam sido acessados pelos criminosos, disse que foi alertado sobre a invasão pela BeyondTrust, empresa que presta serviços de segurança cibernética, em 8 de dezembro. Também informou que trabalha em conjunto com a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA, na sigla em inglês) e o FBI para avaliar os impactos do ataque.

Funcionários do Tesouro não responderam a um email enviado pela Reuters solicitando mais detalhes da invasão. O FBI tampouco respondeu a pedidos de comentário feitos pela Reuters, enquanto a CISA disse que as perguntas deveriam ser feitas ao Departamento do Tesouro.

“A China sempre se opôs a todas as formas de ataques de hackers”, disse Mao Ning, porta-voz do Ministério das Relações Exteriores da China, em entrevista nesta terça-feira (31).

Um porta-voz da Embaixada da China em Washington rejeitou qualquer responsabilidade pelo ataque, dizendo que Pequim “se opõe firmemente aos ataques de difamação dos EUA contra a China sem qualquer base factual”.

Um porta-voz da BeyondTrust disse à Reuters que a empresa “identificou e tomou medidas para resolver um incidente de segurança no início de dezembro de 2024” envolvendo seu produto de suporte remoto.

A BeyondTrust “notificou o número limitado de clientes que estavam envolvidos” e as autoridades policiais, disse o porta-voz. “A BeyondTrust tem apoiado os esforços de investigação”.

O porta-voz se referiu a uma nota publicada no site da empresa em 8 de dezembro, compartilhando alguns detalhes da investigação, inclusive que uma chave digital havia sido comprometida no incidente e que uma investigação estava em andamento. Essa declaração foi atualizada pela última vez em 18 de dezembro.

Tom Hegel, pesquisador de ameaças da empresa de segurança cibernética SentinelOne, disse que o incidente de segurança relatado “se encaixa em um padrão bem documentado de operações de grupos ligados à RPC, com foco especial no abuso de serviços de terceiros confiáveis —um método que se tornou cada vez mais proeminente nos últimos anos”, disse ele, usando um acrônimo para a República Popular da China.