Microsoft ostrzega przed chińskimi hakerami atakującymi amerykański i europejski rząd

Microsoft poinformował, że chińscy hakerzy mieli dostęp do rządowych kont e-mail w Stanach Zjednoczonych i Europie Zachodniej. Firma stwierdziła, że ​​hakerzy, których zidentyfikowała jako grupę znaną jako Storm-0558, byli prawdopodobnie motywowani szpiegostwem.

Włamanie, które pozostawało niewykryte przez miesiąc, dotyczyło kont e-mail używanych przez około 25 organizacji, w tym agencje rządowe i ośrodki analityczne. Microsoft powiedział, że hakerzy mogą ukraść poufne informacje, w tym e-maile, dokumenty i hasła.

Firma oświadczyła, że ​​powiadomiła zainteresowane organizacje i podjęła kroki w celu złagodzenia szkód. Firma podkreśliła również współpracę z organami ścigania w celu zbadania włamania. W swoim poście na blogu Microsoft wyjaśnia :

Aktor użył zdobytego klucza MSA do sfałszowania tokenów w celu uzyskania dostępu do OWA i Outlook.com. Klucze MSA (konsumenckie) i Azure AD (korporacyjne) są wydawane i zarządzane z oddzielnych systemów i powinny być ważne tylko dla odpowiednich systemów.

Aktor wykorzystał problem z weryfikacją tokenu, aby podszywać się pod użytkowników usługi Azure AD i uzyskać dostęp do poczty przedsiębiorstwa. Nie mamy żadnych wskazówek, że klucze usługi Azure AD lub jakiekolwiek inne klucze MSA były używane przez tego aktora.

OWA i Outlook.com to jedyne serwisy, w których zaobserwowaliśmy, że aktor używa tokenów sfałszowanych przy użyciu pozyskanego klucza MSA.

Nawiązał współpracę z Agencją ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) Departamentu Bezpieczeństwa Wewnętrznego (DHS), aby zająć się klientami, których to dotyczy. Microsoft dodaje, że kontaktowano się bezpośrednio z takimi klientami lub organizacjami.

Oto jak firma Microsoft podsumowała swoje działania łagodzące w celu zwalczania tego ataku:

Firma Microsoft ograniczyła nabyty klucz MSA, a nasze dane telemetryczne wskazują, że działania aktora zostały zablokowane. W trakcie dochodzenia podjęliśmy następujące proaktywne kroki:

• Firma Microsoft zablokowała użycie tokenów podpisanych przy użyciu uzyskanego klucza MSA w programie OWA, uniemożliwiając dalsze działania cyberprzestępców w zakresie poczty korporacyjnej.
• Microsoft zakończył wymianę klucza, aby uniemożliwić cyberprzestępcom wykorzystanie go do fałszowania tokenów.
• Firma Microsoft zablokowała użycie tokenów wydanych z kluczem dla wszystkich klientów indywidualnych, których to dotyczy.

Storm-0558 to znana chińska grupa hakerska działająca od kilku lat. Grupa została powiązana z kilkoma głośnymi hackami. A hack to najnowszy głośny cyberatak wymierzony w agencje rządowe i inne wrażliwe organizacje.

W ostatnich latach narastają obawy związane z zagrożeniem ze strony chińskiego cyberszpiegostwa. Ostatnio Microsoft twierdzi, że sponsorowany przez państwo chiński aktor atakuje infrastrukturę krytyczną w USA . Jednak chiński rząd zaprzeczył jakiemukolwiek udziałowi w włamaniu. Atak nastąpił po tym, jak kraj ponownie przemyślał swoją politykę wspierania krajowego przemysłu chipów w obliczu ograniczeń ze strony USA.