Η Microsoft αποκαλύπτει πώς οι χάκερ έκλεψαν το κλειδί υπογραφής email της… κάπως

By

Marizas Dimitris

On

Σεπ 9, 2023

Μια σειρά από ατυχείς

και τα διαδοχικά λάθη επέτρεψαν σε μια ομάδα hacking που υποστηριζόταν από την Κίνα να κλέψει ένα από τα κλειδιά του βασιλείου email της Microsoft που παρείχε σχεδόν απεριόριστη πρόσβαση στα εισερχόμενα της κυβέρνησης των ΗΠΑ. Η Microsoft εξήγησε σε μια πολυαναμενόμενη ανάρτηση ιστολογίου αυτή την εβδομάδα πώς οι χάκερ πέτυχαν τη ληστεία. Όμως, ενώ ένα μυστήριο λύθηκε, αρκετές σημαντικές λεπτομέρειες παραμένουν άγνωστες.

Για να ανακεφαλαιώσουμε, η Microsoft αποκάλυψε τον Ιούλιο ότι οι χάκερ που αποκαλεί Storm-0558, τους οποίους πιστεύει ότι υποστηρίζονται από την Κίνα, «απέκτησαν» ένα κλειδί υπογραφής email που χρησιμοποιεί η Microsoft για την προστασία λογαριασμών ηλεκτρονικού ταχυδρομείου καταναλωτών όπως το

Outlook

.com. Οι χάκερ χρησιμοποίησαν αυτό το κλειδί του ψηφιακού σκελετού για να εισβάλουν τόσο στους προσωπικούς όσο και στους εταιρικούς λογαριασμούς email κυβερνητικών αξιωματούχων που φιλοξενεί η Microsoft. Το χακάρισμα θεωρείται ως στοχευμένη εκστρατεία κατασκοπείας που στοχεύει στην κατασκοπεία των μη διαβαθμισμένων email αξιωματούχων και διπλωματών της κυβέρνησης των ΗΠΑ, όπως φέρεται να περιλαμβάνουν την υπουργό Εμπορίου των ΗΠΑ Τζίνα Ραϊμόντο και τον Πρέσβη των ΗΠΑ στην Κίνα, Νίκολας Μπερνς.

Ο τρόπος με τον οποίο οι χάκερ απέκτησαν αυτό το κλειδί υπογραφής email καταναλωτή ήταν ένα μυστήριο -ακόμη και για τη Microsoft- μέχρι αυτή την εβδομάδα, όταν ο τεχνολογικός γίγαντας παρουσίασε καθυστερημένα τα πέντε ξεχωριστά ζητήματα που οδήγησαν στην τελική διαρροή του κλειδιού.

είπε η Microsoft

ανάρτησή του στο blog

ότι τον Απρίλιο του 2021, ένα σύστημα που χρησιμοποιήθηκε ως μέρος της διαδικασίας υπογραφής κλειδιού καταναλωτή κατέρρευσε. Η συντριβή παρήγαγε μια εικόνα στιγμιότυπου του συστήματος για μεταγενέστερη ανάλυση. Αυτό το σύστημα υπογραφής κλειδιού καταναλωτή διατηρείται σε ένα «ιδιαίτερα απομονωμένο και περιορισμένο» περιβάλλον όπου η πρόσβαση στο Διαδίκτυο είναι αποκλεισμένη για την άμυνα έναντι μιας σειράς κυβερνοεπιθέσεων. Εν αγνοία της Microsoft, όταν το σύστημα κατέρρευσε, η εικόνα στιγμιότυπου περιλάμβανε κατά λάθος ένα αντίγραφο του κλειδιού υπογραφής καταναλωτή 1️⃣, αλλά τα συστήματα της Microsoft απέτυχαν να εντοπίσουν το κλειδί στο στιγμιότυπο 2️⃣.

Η εικόνα στιγμιότυπου “μεταφέρθηκε στη συνέχεια από το απομονωμένο δίκτυο παραγωγής στο περιβάλλον εντοπισμού σφαλμάτων στο εταιρικό δίκτυο που είναι συνδεδεμένο στο Διαδίκτυο” για να κατανοηθεί γιατί το σύστημα κατέρρευσε. Η Microsoft είπε ότι αυτό ήταν σύμφωνο με την τυπική διαδικασία εντοπισμού σφαλμάτων, αλλά ότι οι μέθοδοι σάρωσης διαπιστευτηρίων της εταιρείας δεν εντόπισαν επίσης την παρουσία του κλειδιού στην εικόνα στιγμιότυπου 3️⃣.

Στη συνέχεια, κάποια στιγμή μετά τη μεταφορά της εικόνας στιγμιότυπου στο εταιρικό δίκτυο της Microsoft τον Απρίλιο του 2021, η Microsoft είπε ότι οι χάκερ του Storm-0558 μπόρεσαν να “συμβιβάσουν με επιτυχία” τον εταιρικό λογαριασμό ενός μηχανικού της Microsoft, ο οποίος είχε πρόσβαση στο περιβάλλον εντοπισμού σφαλμάτων όπου το στιγμιότυπο αποθηκεύτηκε η εικόνα που περιείχε το κλειδί υπογραφής καταναλωτή. Η Microsoft είπε ότι δεν μπορεί να είναι απολύτως βέβαιο ότι έτσι κλάπηκε το κλειδί επειδή «δεν έχουμε αρχεία καταγραφής με συγκεκριμένα στοιχεία αυτής της διήθησης», αλλά είπε ότι αυτός ήταν ο «πιο πιθανός

μηχανισμός

με τον οποίο ο ηθοποιός απέκτησε το κλειδί».

Όσον αφορά τον τρόπο με τον οποίο το κλειδί υπογραφής καταναλωτή παραχώρησε πρόσβαση σε εταιρικούς και εταιρικούς λογαριασμούς email πολλών οργανισμών και κυβερνητικών υπηρεσιών, η Microsoft είπε ότι τα συστήματα email της δεν εκτελούσαν αυτόματα ή σωστά την επικύρωση κλειδιού 4️⃣, πράγμα που σήμαινε ότι το σύστημα email της Microsoft «θα αποδεχόταν ένα αίτημα για επιχειρήσεις email χρησιμοποιώντας ένα διακριτικό ασφαλείας υπογεγραμμένο με το κλειδί καταναλωτή», 5️⃣ είπε η εταιρεία.

Το μυστήριο λύθηκε? ΟΧΙ ακριβως

Η παραδοχή της Microsoft ότι το κλειδί υπογραφής καταναλωτή πιθανότατα κλάπηκε από τα δικά της συστήματα τερματίζει μια θεωρία ότι το κλειδί μπορεί να είχε ληφθεί από αλλού.

Αλλά οι συνθήκες για το πώς ακριβώς οι εισβολείς εισέβαλαν στη Microsoft παραμένει ένα ανοιχτό ερώτημα. Όταν ζητήθηκε σχόλιο, ο Jeff Jones, ανώτερος διευθυντής της Microsoft, είπε στο TechCrunch ότι ο λογαριασμός του μηχανικού παραβιάστηκε με χρήση “κακόβουλου λογισμικού κλοπής διακριτικών”, αλλά αρνήθηκε να σχολιάσει περαιτέρω.

Το κακόβουλο

λογισμικό

κλοπής διακριτικών, το οποίο μπορεί να παραδοθεί μέσω

phishing

ή κακόβουλων συνδέσμων, αναζητά διακριτικά συνεδρίας στον υπολογιστή του θύματος. Τα Session token είναι μικρά αρχεία που επιτρέπουν στους χρήστες να παραμένουν μόνιμα συνδεδεμένοι χωρίς να χρειάζεται να εισάγουν ξανά έναν κωδικό πρόσβασης ή να εξουσιοδοτούν εκ νέου με έλεγχο ταυτότητας δύο παραγόντων. Ως εκ τούτου, τα κλεμμένα διακριτικά περιόδου λειτουργίας μπορούν να παραχωρήσουν σε έναν εισβολέα την ίδια πρόσβαση με τον χρήστη χωρίς να χρειάζεται τον κωδικό πρόσβασης του χρήστη ή τον κωδικό δύο παραγόντων.

Είναι μια παρόμοια μέθοδος επίθεσης με τον τρόπο με τον οποίο η Uber παραβιάστηκε πέρυσι από ένα έφηβο συνεργείο hacking που ονομάζεται Lapsus$, το οποίο βασιζόταν σε κακόβουλο λογισμικό για να κλέψει κωδικούς πρόσβασης υπαλλήλων της Uber ή διακριτικά συνεδρίας. Η εταιρεία λογισμικού CircleCi παραβιάστηκε επίσης τον Ιανουάριο, αφού το λογισμικό προστασίας από ιούς που χρησιμοποιούσε η εταιρεία απέτυχε να εντοπίσει κακόβουλο λογισμικό κλοπής διακριτικών σε φορητό υπολογιστή μηχανικού. Το LastPass, επίσης, είχε μια σημαντική παραβίαση δεδομένων στα θησαυροφυλάκια κωδικών πρόσβασης των πελατών, αφού χάκερ εισέβαλαν στο χώρο αποθήκευσης cloud της εταιρείας μέσω ενός παραβιασμένου υπολογιστή προγραμματιστή του LastPass.

Ο τρόπος με τον οποίο παραβιάστηκε ο λογαριασμός του μηχανικού της Microsoft είναι μια σημαντική λεπτομέρεια που θα μπορούσε να βοηθήσει τους υπερασπιστές δικτύου να αποτρέψουν ένα παρόμοιο περιστατικό στο μέλλον. Δεν είναι σαφές εάν ο υπολογιστής του μηχανικού που εκδόθηκε από το έργο του μηχανικού παραβιάστηκε ή αν επρόκειτο για προσωπική συσκευή που επέτρεψε η Microsoft στο δίκτυό της. Σε κάθε περίπτωση, η εστίαση σε έναν μεμονωμένο μηχανικό φαίνεται άδικη, δεδομένου ότι οι πραγματικοί ένοχοι για τον συμβιβασμό είναι οι πολιτικές ασφάλειας δικτύου που απέτυχαν να μπλοκάρουν τον (αν και πολύ εξειδικευμένο) εισβολέα.

Αυτό που είναι ξεκάθαρο είναι ότι η ασφάλεια στον κυβερνοχώρο είναι απίστευτα δύσκολη, ακόμη και για εταιρικούς μεγα-γίγαντες με σχεδόν απεριόριστα μετρητά και πόρους. Οι μηχανικοί της Microsoft φαντάστηκαν και εξέτασαν ένα ευρύ φάσμα από τις πιο περίπλοκες απειλές και επιθέσεις στον κυβερνοχώρο στο σχεδιασμό προστασίες και άμυνες για τα πιο ευαίσθητα και κρίσιμα συστήματα της εταιρείας, ακόμα κι αν αυτές οι άμυνες τελικά απέτυχαν. Είτε το Storm-0558 γνώριζε ότι θα έβρισκε τα κλειδιά για το βασίλειο των email της Microsoft όταν εισέβαλλε στο δίκτυο της εταιρείας είτε ήταν καθαρά τυχαίο και καθαρό χρονοδιάγραμμα, είναι μια έντονη υπενθύμιση ότι οι εγκληματίες του κυβερνοχώρου χρειάζεται συχνά να έχουν επιτυχία μόνο μία φορά.

Δεν φαίνεται να υπάρχει κατάλληλη αναλογία για να περιγράψει αυτή τη μοναδική παραβίαση ή περιστάσεις. Είναι τόσο πιθανό να εντυπωσιαστείτε από την ασφάλεια του θησαυροφυλακίου μιας τράπεζας και να αναγνωρίσετε τις προσπάθειες των ληστών που έκλεψαν κρυφά τα κλοπιμαία μέσα.

Θα περάσει αρκετός καιρός μέχρι να γίνει ξεκάθαρη η πλήρης κλίμακα της εκστρατείας κατασκοπείας και τα υπόλοιπα θύματα των οποίων έγινε πρόσβαση στα email δεν έχουν ακόμη αποκαλυφθεί δημόσια. Το Συμβούλιο Αναθεώρησης της Κυβερνοασφάλειας, ένα σώμα ειδικών σε θέματα ασφάλειας επιφορτισμένο με την κατανόηση των διδαγμάτων από μεγάλα περιστατικά ασφάλειας στον κυβερνοχώρο, δήλωσε ότι θα διερευνήσει την παραβίαση email της Microsoft και θα διενεργήσει μια ευρύτερη ανασκόπηση ζητημάτων «σχετικά με την

υποδομή

ταυτότητας και ελέγχου ταυτότητας που βασίζεται στο cloud».

techcrunch.com

Παρόμοια άρθρα