Para peretas yang disponsori oleh negara Tiongkok meretas pengamanan komputer Departemen Keuangan AS bulan ini dan mencuri dokumen-dokumen dalam apa yang Departemen Keuangan sebut sebagai “insiden besar,” menurut surat kepada para legislator yang pejabat Departemen Keuangan berikan kepada Reuters pada hari Senin.
Para peretas telah mengakali penyedia layanan keamanan siber pihak ketiga BeyondTrust dan berhasil mengakses dokumen-dokumen yang tidak terklasifikasi, demikian bunyi surat tersebut.
Menurut surat tersebut, para peretas “mendapatkan akses ke sebuah kunci yang digunakan oleh vendor untuk mengamankan layanan berbasis awan yang digunakan untuk memberikan dukungan teknis jarak jauh bagi pengguna akhir Kantor Departemen Keuangan (DO). Dengan akses ke kunci yang dicuri, pelaku ancaman dapat menimpa keamanan layanan tersebut, mengakses secara jarak jauh beberapa workstation pengguna DO Departemen Keuangan, dan mengakses beberapa dokumen yang tidak terklasifikasi yang dikelola oleh para pengguna tersebut.”
Departemen Keuangan mengatakan bahwa mereka diberitahu tentang peretasan tersebut oleh BeyondTrust pada tanggal 8 Desember dan bahwa mereka sedang bekerja sama dengan Badan Keamanan Siber dan Infrastruktur AS serta FBI untuk menilai dampak dari peretasan tersebut.
Para pejabat Departemen Keuangan tidak segera menanggapi surel yang mencari informasi lebih lanjut tentang peretasan tersebut. FBI tidak segera menanggapi permintaan komentar dari Reuters, sementara CISA mengarahkan pertanyaan kembali ke Departemen Keuangan.
Juru bicara Kedutaan Tiongkok di Washington menolak segala tanggung jawab atas peretasan tersebut, mengatakan bahwa Beijing “menentang dengan tegas serangan fitnah AS terhadap Tiongkok tanpa dasar fakta.”
Juru bicara BeyondTrust, yang berbasis di Johns Creek, Georgia, mengatakan kepada Reuters melalui surel bahwa perusahaan “sebelumnya mengidentifikasi dan mengambil langkah-langkah untuk mengatasi insiden keamanan pada awal Desember 2024” yang melibatkan produk dukungan jarak jauh mereka. BeyondTrust “memberitahu sejumlah pelanggan yang terlibat,” dan penegak hukum telah diberitahu, kata juru bicara tersebut. “BeyondTrust telah mendukung upaya investigasi.”
Juru bicara tersebut merujuk pada pernyataan yang diposting di situs web perusahaan pada tanggal 8 Desember yang membagikan beberapa detail dari penyelidikan, termasuk bahwa sebuah kunci digital telah dikompromikan dalam insiden tersebut dan bahwa penyelidikan masih berlangsung. Pernyataan tersebut terakhir diperbarui pada 18 Desember.
Tom Hegel, peneliti ancaman di perusahaan keamanan siber SentinelOne (NYSE:), mengatakan bahwa insiden keamanan yang dilaporkan “sesuai dengan pola operasi yang terdokumentasi dengan baik oleh kelompok terkait PRC, dengan fokus khusus pada menyalahgunakan layanan pihak ketiga yang dipercayai – sebuah metode yang semakin menonjol dalam beberapa tahun terakhir,” katanya, menggunakan akronim untuk Republik Rakyat Tiongkok.