Κινέζοι χάκερ έκλεψαν δεκάδες χιλιάδες μηνύματα ηλεκτρονικού ταχυδρομείου από λογαριασμούς του Υπουργείου Εξωτερικών των ΗΠΑ μετά την παραβίαση της
πλατφόρμα
ς ηλεκτρονικού ταχυδρομείου Exchange της Microsoft που βασίζεται στο cloud τον Μάιο.
Κατά τη διάρκεια πρόσφατης ενημέρωσης του προσωπικού της Γερουσίας, αξιωματούχοι του Υπουργείου Εξωτερικών των ΗΠΑ αποκάλυψαν ότι οι δράστες έκλεψαν τουλάχιστον 60.000 email από λογαριασμούς του Outlook που ανήκαν σε αξιωματούχους του Στέιτ Ντιπάρτμεντ στην Ανατολική Ασία, τον Ειρηνικό και την Ευρώπη.
Reuters
αναφέρθηκε για πρώτη φορά.
Επιπλέον, οι χάκερ κατάφεραν να αποκτήσουν μια λίστα που περιείχε όλους τους λογαριασμούς email του τμήματος. Το συμβιβασμένο προσωπικό του Στέιτ Ντιπάρτμεντ επικεντρώθηκε κυρίως στις προσπάθειες της Ινδο-Ειρηνικής διπλωματίας.
«Πρέπει να σκληρύνουμε την άμυνά μας ενάντια σε αυτούς τους τύπους κυβερνοεπιθέσεων και εισβολών στο
μέλλον
και πρέπει να ρίξουμε μια προσεκτική ματιά στην εξάρτηση της ομοσπονδιακής κυβέρνησης από έναν μόνο προμηθευτή ως πιθανό αδύναμο σημείο», δήλωσε ο γερουσιαστής Eric Schmitt σε δήλωση.
«Θα συνεχίσω να καθοδηγώ τους συναδέλφους μου να πιέζουν για περισσότερες απαντήσεις για να διασφαλίσω ότι η Κίνα και άλλοι άκομψοι παράγοντες δεν θα έχουν πρόσβαση στις πιο ευαίσθητες πληροφορίες της ομοσπονδιακής κυβέρνησης».
Τον Ιούλιο, η Microsoft αποκάλυψε ότι από τις 15 Μαΐου 2023, παράγοντες απειλών παραβίασαν με επιτυχία λογαριασμούς του Outlook που σχετίζονται με περίπου 25 οργανισμούς. Οι παραβιασμένοι οργανισμοί περιλαμβάνουν το Υπουργείο Εξωτερικών και Εμπορίου των ΗΠΑ και ορισμένους λογαριασμούς καταναλωτών που πιθανώς συνδέονται με αυτούς.
Η Microsoft
δεν αποκάλυψε συγκεκριμένες λεπτομέρειες σχετικά με τους επηρεαζόμενους οργανισμούς, κυβερνητικούς φορείς ή χώρες που επηρεάστηκαν από αυτήν την παραβίαση ηλεκτρονικού ταχυδρομείου.
Ο εκπρόσωπος του Εθνικού Συμβουλίου Ασφαλείας Άνταμ Χοτζ επιβεβαίωσε το περιστατικό τον Ιούλιο, λέγοντας ότι οι επιτιθέμενοι είχαν πρόσβαση μόνο σε μη διαβαθμισμένα συστήματα.
«Τον περασμένο μήνα, οι διασφαλίσεις της αμερικανικής κυβέρνησης εντόπισαν μια εισβολή στην ασφάλεια cloud της Microsoft, η οποία επηρέασε μη ταξινομημένα συστήματα», είπε ο Hodge.
“Οι υπάλληλοι επικοινώνησαν αμέσως με τη Microsoft για να βρουν την πηγή και την ευπάθεια στην υπηρεσία cloud τους. Συνεχίζουμε να κρατάμε τους παρόχους προμηθειών της κυβέρνησης των ΗΠΑ σε υψηλό όριο ασφαλείας.”
Παραβιάσεις email που συνδέονται με κινεζικούς κυβερνοκατασκοπευτές
Αυτές οι επιθέσεις έχουν αποδοθεί σε μια ομάδα κυβερνοκατασκοπείας γνωστή ως Storm-0558, η οποία θεωρείται ύποπτη ότι επικεντρώθηκε στην απόκτηση ευαίσθητων πληροφοριών διεισδύοντας στα συστήματα email των στόχων τους.
Νωρίτερα αυτό το μήνα, η Microsoft αποκάλυψε ότι η ομάδα απειλών έλαβε για πρώτη φορά ένα κλειδί υπογραφής καταναλωτή από ένα crash dump των Windows, μια παραβίαση που διευκόλυνε μετά την παραβίαση του εταιρικού λογαριασμού ενός μηχανικού της Microsoft, ο οποίος επέτρεψε την πρόσβαση στους κυβερνητικούς λογαριασμούς email.
Το κλεμμένο κλειδί Λογαριασμού Microsoft (MSA) χρησιμοποιήθηκε για να παραβιάσει τους λογαριασμούς Exchange Online και
Azure
Active Directory (AD) εκμεταλλευόμενος μια ευπάθεια επικύρωσης μηδενικής ημέρας που είχε προηγουμένως διορθωθεί στο GetAccessTokenForResourceAPI. Το ελάττωμα επέτρεψε στους εισβολείς να δημιουργήσουν πλαστά υπογεγραμμένα διακριτικά πρόσβασης, τα οποία τους επέτρεψαν να πλαστοπροσωπήσουν λογαριασμούς εντός των στοχευόμενων οργανισμών.
Ως απάντηση στην παραβίαση ασφαλείας, η Microsoft ανακάλεσε το κλεμμένο κλειδί υπογραφής και, μετά από έρευνες, δεν βρήκε επιπλέον περιπτώσεις μη εξουσιοδοτημένης πρόσβασης σε λογαριασμούς πελατών μέσω της ίδιας μεθόδου πλαστογραφίας διακριτικού πρόσβασης.
Υπό την πίεση της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομών (
CISA
), η Microsoft συμφώνησε επίσης να διευρύνει την πρόσβαση σε δεδομένα καταγραφής cloud χωρίς κόστος, κάτι που θα βοηθήσει τους υπερασπιστές του δικτύου να εντοπίσουν πιθανές προσπάθειες παραβίασης παρόμοιας φύσης στο μέλλον.
Προηγουμένως, τέτοιες δυνατότητες καταγραφής ήταν αποκλειστικά προσβάσιμες σε πελάτες με άδειες καταγραφής Purview Audit (Premium). Εξαιτίας αυτού, η Microsoft αντιμετώπισε κριτική επειδή εμποδίζει τους οργανισμούς να εντοπίζουν έγκαιρα τις επιθέσεις του Storm-0558.
