Κινέζοι χάκερ παραβίασαν τους λογαριασμούς email του αμερικανικού κυβερνητικού Exchange
Μια κινεζική ομάδα
hacking
παραβίασε τους λογαριασμούς ηλεκτρονικού ταχυδρομείου περισσότερων από δώδεκα οργανισμών παγκοσμίως, συμπεριλαμβανομένων κυβερνητικών υπηρεσιών των ΗΠΑ και της Δυτικής Ευρώπης, σύμφωνα με τη
Microsoft
.
Οι επιθέσεις έγιναν
καρφιτσωμένο σε μια ομάδα απειλών που παρακολουθείται ως Storm-0558
που πιστεύεται ότι είναι μια ομάδα κυβερνοκατασκοπείας που επικεντρώνεται στη συλλογή ευαίσθητων πληροφοριών μέσω παραβίασης συστημάτων ηλεκτρονικού ταχυδρομείου.
Η Microsoft ξεκίνησε τη διερεύνηση αυτών των επιθέσεων στις 16 Ιουνίου 2023, μετά από αναφορές πελατών σχετικά με ασυνήθιστη δραστηριότητα αλληλογραφίας.
Η εταιρεία ανακάλυψε ότι από τις 15 Μαΐου 2023, οι παράγοντες απειλών του Storm-0558 κατάφεραν να αποκτήσουν πρόσβαση σε λογαριασμούς
Outlook
που ανήκαν σε περίπου 25 οργανισμούς και σε ορισμένους λογαριασμούς καταναλωτών που πιθανόν να συνδέονται με αυτούς τους οργανισμούς.
Για να γίνει αυτό, οι εισβολείς χρησιμοποίησαν διακριτικά ελέγχου ταυτότητας που πλαστογραφήθηκαν με τη βοήθεια κλεμμένου κλειδιού υπογραφής καταναλωτή λογαριασμού Microsoft (MSA).
“Οι έρευνες της Microsoft διαπίστωσαν ότι το Storm-0558 απέκτησε πρόσβαση σε λογαριασμούς email πελατών χρησιμοποιώντας το Outlook Web Access στο Exchange Online (OWA) και το Outlook.com πλαστογραφώντας διακριτικά ελέγχου ταυτότητας για πρόσβαση στο email χρήστη.”
είπε η Microsoft
σε ανάρτηση ιστολογίου που δημοσιεύτηκε αργά το απόγευμα της Τρίτης.
“Ο ηθοποιός χρησιμοποίησε ένα κλειδί MSA που απέκτησε για να πλαστογραφήσει διακριτικά για πρόσβαση στο OWA και το Outlook.com. Τα κλειδιά MSA (καταναλωτής) και τα κλειδιά Azure AD (επιχειρηματικά) εκδίδονται και διαχειρίζονται από ξεχωριστά συστήματα και θα πρέπει να ισχύουν μόνο για τα αντίστοιχα συστήματα τους. Ο ηθοποιός εκμεταλλεύτηκε ένα ζήτημα επικύρωσης διακριτικού για να μιμηθεί τους χρήστες του Azure AD και να αποκτήσει πρόσβαση στην εταιρική αλληλογραφία.”
Η Microsoft πρόσθεσε ότι δεν βρήκε στοιχεία που να υποδεικνύουν οποιαδήποτε πρόσθετη μη εξουσιοδοτημένη πρόσβαση μετά την “ολοκλήρωση του μετριασμού αυτής της επίθεσης”.
Ανακαλύφθηκε και αναφέρθηκε από την κυβέρνηση των ΗΠΑ
Το περιστατικό αναφέρθηκε στη Microsoft από αξιωματούχους της αμερικανικής κυβέρνησης τον περασμένο μήνα μετά την ανακάλυψη μη εξουσιοδοτημένης πρόσβασης σε υπηρεσίες email της Microsoft που βασίζονται σε
cloud
.
Αυτό επιβεβαίωσε ο εκπρόσωπος του Συμβουλίου Εθνικής Ασφαλείας Άνταμ Χοτζ σε δήλωση που κοινοποιήθηκε στο CNN.
“Τον περασμένο μήνα, οι διασφαλίσεις της κυβέρνησης των ΗΠΑ εντόπισαν μια εισβολή στην ασφάλεια cloud της Microsoft, η οποία επηρέασε μη ταξινομημένα συστήματα”, δήλωσε ο Hodge
είπε στο CNN
.
“Οι υπάλληλοι επικοινώνησαν αμέσως με τη Microsoft για να βρουν την πηγή και την ευπάθεια στην υπηρεσία cloud τους. Συνεχίζουμε να κρατάμε τους παρόχους προμηθειών της κυβέρνησης των ΗΠΑ σε υψηλό όριο ασφαλείας.”
Την Τρίτη, η Microsoft αποκάλυψε επίσης ότι η ομάδα κυβερνοεγκληματικών που εδρεύει στη Ρωσία, με έδρα τη RomCom, εκμεταλλεύτηκε ένα μη επιδιορθωμένο Office zero-day σε πρόσφατες επιθέσεις spear-
phishing
με στόχο οργανώσεις που συμμετείχαν στη Σύνοδο Κορυφής του ΝΑΤΟ στο Βίλνιους της Λιθουανίας.
