Microsoft alerta sobre hackers chineses visando governos dos EUA e da Europa

A Microsoft informou que hackers chineses tiveram acesso a contas de e-mail do governo nos Estados Unidos e na Europa Ocidental. A empresa disse que os hackers, identificados como um grupo conhecido como Storm-0558, provavelmente foram motivados por espionagem.

O hack, que passou despercebido por um mês, teve como alvo contas de e-mail usadas por aproximadamente 25 organizações, incluindo agências governamentais e think tanks. A Microsoft disse que os hackers podem roubar informações confidenciais, incluindo e-mails, documentos e senhas.

A empresa afirmou que notificou as organizações afetadas e tomou medidas para mitigar os danos. A empresa também enfatizou o trabalho com a polícia para investigar o hack. Em sua postagem no blog, a Microsoft explica :

O ator usou uma chave MSA adquirida para forjar tokens para acessar OWA e Outlook.com. As chaves MSA (consumidor) e as chaves Azure AD (empresa) são emitidas e gerenciadas de sistemas separados e devem ser válidas apenas para seus respectivos sistemas.

O ator explorou um problema de validação de token para representar os usuários do Azure AD e obter acesso ao correio corporativo. Não temos indicações de que as chaves do Azure AD ou quaisquer outras chaves MSA foram usadas por esse agente.

OWA e Outlook.com são os únicos serviços em que observamos o ator usando tokens forjados com a chave MSA adquirida.

Ela se associou à Agência de Segurança Cibernética e Infraestrutura (CISA) do Departamento de Segurança Interna (DHS) para lidar com os clientes afetados. A Microsoft acrescenta que tais clientes ou organizações foram contatados diretamente.

Veja como a Microsoft resumiu seus esforços de mitigação para combater esse ataque:

A Microsoft mitigou a chave MSA adquirida e nossa telemetria indica que as atividades do ator foram bloqueadas. Tomamos as seguintes medidas proativas à medida que nossa investigação avançava:

• A Microsoft bloqueou o uso de tokens assinados com a chave MSA adquirida no OWA, impedindo mais atividades de correio corporativo de agentes de ameaças.
• A Microsoft concluiu a substituição da chave para impedir que o agente da ameaça a use para falsificar tokens.
• A Microsoft bloqueou o uso de tokens emitidos com a chave para todos os clientes consumidores afetados.

Storm-0558 é um conhecido grupo de hackers chinês que está ativo há vários anos. O grupo foi vinculado a vários hacks de alto perfil. E o hack é o mais recente ataque cibernético de alto nível direcionado a agências governamentais e outras organizações confidenciais.

Nos últimos anos, tem havido uma preocupação crescente com a ameaça da espionagem cibernética chinesa. Ultimamente, a Microsoft diz que o ator chinês patrocinado pelo estado tem como alvo a infraestrutura crítica nos EUA . No entanto, o governo chinês negou qualquer envolvimento no hack. O ataque ocorreu depois que o país repensou suas políticas para apoiar a indústria doméstica de chips em meio às restrições dos EUA.