Microsoft mette in guardia dagli hacker cinesi che prendono di mira Stati Uniti, governo europeo

Microsoft ha riferito che gli hacker cinesi avevano accesso agli account di posta elettronica del governo negli Stati Uniti e nell’Europa occidentale. La società ha affermato che gli hacker, che ha identificato come un gruppo noto come Storm-0558, erano probabilmente motivati ​​dallo spionaggio.

L’attacco, che non è stato rilevato per un mese, ha preso di mira gli account di posta elettronica utilizzati da circa 25 organizzazioni tra cui agenzie governative e gruppi di riflessione. Microsoft ha affermato che gli hacker potrebbero rubare informazioni sensibili, inclusi e-mail, documenti e password.

La società ha dichiarato di aver informato le organizzazioni interessate e di aver adottato misure per mitigare il danno. La società ha anche sottolineato la collaborazione con le forze dell’ordine per indagare sull’hacking. Nel suo post sul blog, Microsoft spiega :

L’attore ha utilizzato una chiave MSA acquisita per creare token per accedere a OWA e Outlook.com. Le chiavi MSA (consumer) e Azure AD (enterprise) vengono rilasciate e gestite da sistemi separati e devono essere valide solo per i rispettivi sistemi.

L’attore ha sfruttato un problema di convalida del token per impersonare gli utenti di Azure AD e ottenere l’accesso alla posta aziendale. Non abbiamo indicazioni che le chiavi di Azure AD o altre chiavi MSA siano state usate da questo attore.

OWA e Outlook.com sono gli unici servizi in cui abbiamo osservato l’attore che utilizza token falsificati con la chiave MSA acquisita.

Ha collaborato con la Cybersecurity and Infrastructure Security Agency (CISA) del Department of Homeland Security (DHS) per rivolgersi ai clienti interessati. Microsoft aggiunge che tali clienti o organizzazioni sono stati contattati direttamente.

Ecco come Microsoft ha riassunto i suoi sforzi di mitigazione per combattere questo attacco:

Microsoft ha mitigato la chiave MSA acquisita e la nostra telemetria indica che le attività dell’attore sono state bloccate. Abbiamo adottato le seguenti misure proattive mentre la nostra indagine procedeva:

• Microsoft ha bloccato l’utilizzo di token firmati con la chiave MSA acquisita in OWA, impedendo ulteriori attività di posta aziendale degli attori delle minacce.
• Microsoft ha completato la sostituzione della chiave per impedire all’autore della minaccia di utilizzarla per falsificare i token.
• Microsoft ha bloccato l’utilizzo dei token emessi con la chiave per tutti i clienti consumer interessati.

Storm-0558 è un noto gruppo di hacker cinese attivo da diversi anni. Il gruppo è stato collegato a diversi hack di alto profilo. E l’hack è l’ultimo attacco informatico di alto profilo che prende di mira agenzie governative e altre organizzazioni sensibili.

Negli ultimi anni, c’è stata una crescente preoccupazione per la minaccia dello spionaggio informatico cinese. Ultimamente, Microsoft afferma che un attore cinese sponsorizzato dallo stato prende di mira le infrastrutture critiche negli Stati Uniti . Tuttavia, il governo cinese ha negato qualsiasi coinvolgimento nell’hacking. L’attacco è arrivato dopo che il paese ha ripensato le sue politiche per sostenere l’industria nazionale dei chip tra le restrizioni statunitensi.