Chińscy hakerzy uzyskali dostęp do kont e-mail 25 organizacji, w tym amerykańskich agencji rządowych, wykorzystując lukę w zabezpieczeniach odkrytą w platformie chmurowej Microsoftu.
Jak donosi The Washington Post, Microsoft potwierdził, że złagodził atak przeprowadzony przez chińskiego aktora zagrożeń, którego określa jako Storm-0558. Zaatakowane konta obejmują konta “około 25 organizacji, w tym agencji rządowych, a także powiązane konta konsumenckie osób prawdopodobnie powiązanych z tymi organizacjami”.
Nieautoryzowany dostęp do kont został wykryty przez rząd USA, a nie Microsoft. Rzecznik Rady Bezpieczeństwa Narodowego Adam Hodges powiedział w oświadczeniu, że “urzędnicy natychmiast skontaktowali się z Microsoftem, aby znaleźć źródło i lukę w ich usłudze w chmurze …. Nadal wymagamy od dostawców zamówień publicznych rządu USA wysokiego progu bezpieczeństwa”.
Hakerzy wykorzystali sfałszowane tokeny uwierzytelniające konta Microsoft (MSA), aby uzyskać dostęp do kont e-mail za pośrednictwem Outlook Web Access w Exchange Online (OWA) i Outlook.com. Microsoft wydaje i zarządza kluczami MSA (konsumenckimi) i Azure AD (korporacyjnymi) przy użyciu oddzielnych systemów i powinny one być ważne tylko dla ich odpowiednich systemów. Hakerzy byli jednak w stanie podszyć się pod legalnych użytkowników, wykorzystując błąd w walidacji tokenów.
Microsoft twierdzi, że nie są wymagane żadne działania ze strony klientów i że skontaktował się już ze wszystkimi klientami dotkniętymi incydentem cyberprzestępczym. Oprócz całkowitego złagodzenia ataku, Charlie Bell, wiceprezes wykonawczy Microsoft Security, powiedział: “Dodaliśmy znaczące automatyczne wykrywanie znanych wskaźników naruszenia bezpieczeństwa związanych z tym atakiem, aby wzmocnić obronę i środowiska klientów, i nie znaleźliśmy żadnych dowodów na dalszy dostęp”.
W zeszłym roku FBI, NSA i Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) wydały wspólny alert ostrzegający opinię publiczną, że Chiny nadal włamują się do głównych firm telekomunikacyjnych w celu szpiegowania użytkowników. Najnowsze włamanie potwierdza, że systemy rządowe również są nadal celem ataków.
