Chińscy hakerzy włamują się na rządowe konta e-mail w USA

Chińscy hakerzy uzyskali dostęp do kont e-mail 25 organizacji, w tym amerykańskich agencji rządowych, wykorzystując lukę w zabezpieczeniach odkrytą w platformie chmurowej Microsoftu.

Jak donosi The Washington Post, Microsoft potwierdził, że złagodził atak przeprowadzony przez chińskiego aktora zagrożeń, którego określa jako Storm-0558. Zaatakowane konta obejmują konta „około 25 organizacji, w tym agencji rządowych, a także powiązane konta konsumenckie osób prawdopodobnie powiązanych z tymi organizacjami”.

Nieautoryzowany dostęp do kont został wykryty przez rząd USA, a nie Microsoft. Rzecznik Rady Bezpieczeństwa Narodowego Adam Hodges powiedział w oświadczeniu, że „urzędnicy natychmiast skontaktowali się z Microsoftem, aby znaleźć źródło i lukę w ich usłudze w chmurze …. Nadal wymagamy od dostawców zamówień publicznych rządu USA wysokiego progu bezpieczeństwa”.

Hakerzy wykorzystali sfałszowane tokeny uwierzytelniające konta Microsoft (MSA), aby uzyskać dostęp do kont e-mail za pośrednictwem Outlook Web Access w Exchange Online (OWA) i Outlook.com. Microsoft wydaje i zarządza kluczami MSA (konsumenckimi) i Azure AD (korporacyjnymi) przy użyciu oddzielnych systemów i powinny one być ważne tylko dla ich odpowiednich systemów. Hakerzy byli jednak w stanie podszyć się pod legalnych użytkowników, wykorzystując błąd w walidacji tokenów.

Microsoft twierdzi, że nie są wymagane żadne działania ze strony klientów i że skontaktował się już ze wszystkimi klientami dotkniętymi incydentem cyberprzestępczym. Oprócz całkowitego złagodzenia ataku, Charlie Bell, wiceprezes wykonawczy Microsoft Security, powiedział: „Dodaliśmy znaczące automatyczne wykrywanie znanych wskaźników naruszenia bezpieczeństwa związanych z tym atakiem, aby wzmocnić obronę i środowiska klientów, i nie znaleźliśmy żadnych dowodów na dalszy dostęp”.

W zeszłym roku FBI, NSA i Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) wydały wspólny alert ostrzegający opinię publiczną, że Chiny nadal włamują się do głównych firm telekomunikacyjnych w celu szpiegowania użytkowników. Najnowsze włamanie potwierdza, że systemy rządowe również są nadal celem ataków.