BeyondTrust, le service tiers compromis
Selon l’agence de presse, les pirates ont compromis le fournisseur de services de cybersécurité du ministère, BeyondTrust, et ont ainsi réussi à accéder à des documents non classifiés. Selon la lettre, les pirates « ont eu accès à une clé utilisée par le fournisseur pour protéger un service d’assistance technique à distance basé sur le cloud ».
Grâce à cette clé, les pirates ont pu contourner les systèmes de défense et accéder à distance aux postes de travail de certains employés du Trésor. « Sur la base des indicateurs disponibles, l’incident a été attribué à un acteur de la menace persistante avancée parrainé par l’État chinois », peut-on lire dans la lettre.
La riposte sévère du gouvernement chinois
Pour sa part, le Trésor a déclaré qu’il avait été rapidement informé de la violation par BeyondTrust et qu’il travaillait avec le CISA (l’agence gouvernementale de cybersécurité) et le FBI pour évaluer l’impact de la violation.
La réaction du gouvernement chinois a été sévère et il s’est immédiatement distancié de l’incident. « La Chine s’est toujours opposée à toute forme d’attaque de pirates informatiques », a déclaré Mao Ning, porte-parole du ministère chinois des affaires étrangères, lors d’une conférence de presse.
Un porte-parole de l’ambassade de Pékin à Washington a rejeté toute responsabilité dans l’attaque des pirates informatiques, déclarant que le gouvernement chinois « s’oppose fermement aux attaques diffamatoires des États-Unis contre la Chine sans aucune base factuelle ».
Un mode opératoire répandu
Selon Tom Hegel, chercheur en menaces à la société de cybersécurité SentinelOne, l’incident « s’inscrit dans un schéma bien documenté d’opérations menées par des groupes liés à la RPC (acronyme de la République Populaire de Chine, ndlr), qui se concentrent sur l’utilisation abusive de services de tiers de confiance ».
