ذكرت صحيفة نيويورك تايمز في وقت سابق أن أحد المتسللين المدعومين من الحكومة الصينية اخترق برنامج إدارة عن بعد تابع لجهة خارجية تستخدمه وزارة الخزانة الأمريكية، مما تسبب في تعرض الوزارة لحادث أمني "كبير". وفي رسالة إلى المشرعين، قالت وزارة الخزانة إن شركة BeyondTrust، الشركة التي تقف وراء برنامج الإدارة عن بعد، أخطرت الوكالة بوجود ثغرة أمنية في 8 ديسمبر.

سرق ممثل التهديد المفاتيح التي تستخدمها BeyondTrust "لتأمين الخدمات المستندة إلى السحابة" المستخدمة لتقديم الدعم الفني عن بعد للمستخدمين النهائيين في وزارة الخزانة (DO). باستخدام هذا المفتاح، تمكنوا من الوصول عن بعد إلى محطات عمل هؤلاء المستخدمين و"بعض الملفات غير السرية" التي يحتفظون بها.

وقالت وزارة الخزانة إنها عملت مع وكالة الأمن السيبراني وأمن البنية التحتية (CISA) ومكتب التحقيقات الفيدرالي في أعقاب الهجوم، الذي يُعتقد أنه نفذه قراصنة التهديدات المتقدمة المستمرة (APT) الذين ترعاهم الدولة الصينية.

وقال المتحدث باسم وزارة الخزانة الأمريكية مايكل جوين في بيان: "تم إيقاف خدمة BeyondTrust المخترقة، ولا يوجد دليل على أن الجهات الفاعلة في مجال التهديد لا تزال قادرة على الوصول إلى أنظمة الخزانة أو معلوماتها".

ويبدو أن الهجوم مرتبط بحادث أمني كشفت عنه شركة BeyondTrust في وقت سابق من هذا الشهر والذي أثر على العملاء الذين يستخدمون برنامج الدعم عن بعد الخاص بها. في ذلك الوقت، ألقت BeyondTrust باللوم في الهجوم على مفتاح API مسرب لبرنامج الدعم عن بعد، مضيفة أنها "ألغت مفتاح API على الفور، وأخطرت العملاء المتأثرين المعروفين، وعلقت المثيلات في نفس اليوم".

وقال جوين: "تأخذ وزارة الخزانة جميع التهديدات التي تتعرض لها أنظمتنا والبيانات التي تحتفظ بها على محمل الجد. وعلى مدى السنوات الأربع الماضية، عززت الخزانة بشكل كبير دفاعاتها السيبرانية، وسنواصل العمل مع الشركاء في القطاعين الخاص والعام لحماية نظامنا المالي من التهديدات".