마이크로소프트, 미국·유럽 정부 노리는 중국 해커 경고

마이크로소프트는 중국 해커들이 미국과 서유럽의 정부 이메일 계정에 접근할 수 있었다고 보고했습니다. 회사는 Storm-0558로 알려진 그룹으로 식별된 해커들이 스파이 활동에 동기를 부여했을 가능성이 있다고 말했습니다.

한 달 동안 탐지되지 않은 이 해킹은 정부 기관과 싱크 탱크를 포함한 약 25개 조직에서 사용하는 이메일 계정을 대상으로 했습니다. 마이크로소프트는 해커들이 이메일, 문서, 비밀번호 등 민감한 정보를 훔칠 수 있다고 말했다.

회사는 영향을 받은 조직에 통보하고 피해를 완화하기 위한 조치를 취했다고 밝혔습니다. 회사는 또한 해킹을 조사하기 위해 법 집행 기관과 협력할 것을 강조했습니다. 블로그 게시물에서 Microsoft는 다음과 같이 설명합니다 .

공격자는 획득한 MSA 키를 사용하여 토큰을 위조하여 OWA 및 Outlook.com에 액세스했습니다. MSA(소비자) 키와 Azure AD(엔터프라이즈) 키는 별도의 시스템에서 발급 및 관리되며 해당 시스템에서만 유효해야 합니다.

공격자는 토큰 유효성 검사 문제를 악용하여 Azure AD 사용자를 가장하고 엔터프라이즈 메일에 대한 액세스 권한을 얻었습니다. 이 행위자가 Azure AD 키 또는 다른 MSA 키를 사용했다는 징후가 없습니다.

OWA와 Outlook.com은 획득한 MSA 키로 위조된 토큰을 사용하는 공격자를 관찰한 유일한 서비스입니다.

국토안보부(DHS)의 사이버 보안 및 인프라 보안국(CISA)과 협력하여 영향을 받는 고객을 해결했습니다. Microsoft는 그러한 고객이나 조직이 직접 연락을 받았다고 덧붙입니다.

Microsoft가 이 공격에 대처하기 위한 완화 노력을 요약한 방법은 다음과 같습니다.

Microsoft는 획득한 MSA 키를 완화했으며 원격 측정 결과 액터 활동이 차단되었음을 나타냅니다. 조사가 진행됨에 따라 다음과 같은 선제적 조치를 취했습니다.

• Microsoft는 OWA에서 획득한 MSA 키로 서명된 토큰의 사용을 차단하여 추가 위협 행위자의 엔터프라이즈 메일 활동을 방지했습니다.
• Microsoft는 위협 행위자가 키를 사용하여 토큰을 위조하지 못하도록 키 교체를 완료했습니다.
• Microsoft는 영향을 받는 모든 소비자 고객을 위해 키와 함께 발급된 토큰의 사용을 차단했습니다.

Storm-0558은 수년 동안 활동해 온 잘 알려진 중국 해킹 그룹입니다. 이 그룹은 몇 가지 유명한 해킹과 연결되어 있습니다. 그리고 해킹은 정부 기관 및 기타 민감한 조직을 대상으로 하는 최근의 세간의 이목을 끄는 사이버 공격입니다.

최근 몇 년 동안 중국 사이버 스파이 활동의 ​​위협에 대한 우려가 커지고 있습니다. 최근 마이크로소프트는 중국 정부가 미국의 중요 기반 시설을 노리는 중국 기업이 있다고 밝혔습니다 . 그러나 중국 정부는 해킹에 관여하지 않았다고 부인했다. 이 공격은 미국의 규제 속에서 국내 칩 산업을 지원하기 위한 정책을 재고한 후에 발생했습니다 .