Η Microsoft προειδοποιεί για Κινέζους χάκερ που στοχεύουν την αμερικανική και ευρωπαϊκή κυβέρνηση

Η

Microsoft

ανέφερε ότι Κινέζοι χάκερ είχαν πρόσβαση σε κυβερνητικούς λογαριασμούς email στις Ηνωμένες Πολιτείες και τη Δυτική Ευρώπη. Η εταιρεία είπε ότι οι χάκερ, τους οποίους αναγνώρισε ως ομάδα γνωστή ως Storm-0558, πιθανότατα υποκινούνταν από κατασκοπεία.

Η πειρατεία, η οποία παρέμεινε απαρατήρητη για ένα μήνα, στόχευε λογαριασμούς email που χρησιμοποιούνταν από περίπου 25 οργανισμούς, συμπεριλαμβανομένων κυβερνητικών υπηρεσιών και δεξαμενών σκέψης. Η Microsoft είπε ότι οι χάκερ θα μπορούσαν να κλέψουν ευαίσθητες πληροφορίες, συμπεριλαμβανομένων email, εγγράφων και κωδικών πρόσβασης.

Η εταιρεία δήλωσε ότι είχε ειδοποιήσει τους πληγέντες οργανισμούς και έλαβε μέτρα για τον μετριασμό της ζημιάς. Η εταιρεία τόνισε επίσης τη συνεργασία με τις αρχές επιβολής του νόμου για τη διερεύνηση του χακαρίσματος. Στην ανάρτησή της στο blog, η Microsoft

εξηγεί

:

Ο ηθοποιός χρησιμοποίησε ένα κλειδί MSA που απέκτησε για να σφυρηλατήσει μάρκες για πρόσβαση στο OWA και το

Outlook

.com. Τα κλειδιά MSA (καταναλωτή) και τα κλειδιά

Azure

AD (επιχειρηματικά) εκδίδονται και διαχειρίζονται από ξεχωριστά συστήματα και θα πρέπει να ισχύουν μόνο για τα αντίστοιχα συστήματα τους.

Ο ηθοποιός εκμεταλλεύτηκε ένα πρόβλημα επικύρωσης διακριτικού για να μιμηθεί τους χρήστες του Azure AD και να αποκτήσει πρόσβαση στην εταιρική αλληλογραφία. Δεν έχουμε ενδείξεις ότι κλειδιά Azure AD ή άλλα κλειδιά MSA χρησιμοποιήθηκαν από αυτόν τον ηθοποιό.

Οι OWA και Outlook.com είναι οι μόνες υπηρεσίες στις οποίες έχουμε παρατηρήσει τον ηθοποιό να χρησιμοποιεί μάρκες που έχουν πλαστογραφηθεί με το κλειδί MSA που αποκτήθηκε.

Έχει συνεργαστεί με την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) του Υπουργείου Εσωτερικής Ασφάλειας (DHS)

για την αντιμετώπιση των επηρεαζόμενων πελατών. Η Microsoft προσθέτει ότι έχει γίνει απευθείας επαφή με τέτοιους πελάτες ή οργανισμούς.

Ακολουθεί ο τρόπος με τον οποίο η Microsoft συνόψισε τις προσπάθειες μετριασμού της για την καταπολέμηση αυτής της επίθεσης:

Η Microsoft έχει μετριάσει το κλειδί MSA που αποκτήθηκε και η τηλεμετρία μας δείχνει ότι οι δραστηριότητες του ηθοποιού έχουν αποκλειστεί. Λάβαμε τα ακόλουθα προληπτικά βήματα καθώς προχωρούσε η έρευνά μας:

• Η Microsoft απέκλεισε τη χρήση των διακριτικών που υπογράφηκαν με το κλειδί MSA που αποκτήθηκε στο OWA, αποτρέποντας περαιτέρω δραστηριότητα αλληλογραφίας για τον παράγοντα απειλών.
• Η Microsoft ολοκλήρωσε την αντικατάσταση του κλειδιού για να αποτρέψει τον παράγοντα απειλής από το να το χρησιμοποιήσει για πλαστογραφήσεις διακριτικών.
• Η Microsoft απέκλεισε τη χρήση των διακριτικών που έχουν εκδοθεί με το κλειδί για όλους τους πελάτες που επηρεάζονται από τους καταναλωτές.

Το Storm-0558 είναι μια πολύ γνωστή κινεζική ομάδα

hacking

που δραστηριοποιείται εδώ και αρκετά χρόνια. Η ομάδα έχει συνδεθεί με πολλά χακάρ υψηλού προφίλ. Και το hack είναι η πιο πρόσφατη κυβερνοεπίθεση υψηλού προφίλ που στοχεύει κυβερνητικές υπηρεσίες και άλλους ευαίσθητους οργανισμούς.

Τα τελευταία χρόνια, υπάρχει μια αυξανόμενη ανησυχία για την απειλή της κινεζικής κυβερνοκατασκοπείας. Πρόσφατα, η Microsoft λέει ότι ο κινεζικός παράγοντας που χρηματοδοτείται από το κράτος στοχεύει κρίσιμες υποδομές στις ΗΠΑ. Ωστόσο, η κινεζική κυβέρνηση αρνήθηκε οποιαδήποτε ανάμειξη στο hack. Η επίθεση ήρθε αφού η χώρα αναθεώρησε τις πολιτικές της για να υποστηρίξει την εγχώρια βιομηχανία τσιπ εν μέσω περιορισμών στις ΗΠΑ.