Microsoft все еще пытается выяснить, как китайским хакерам удалось украсть ключ подписи потребителя (MSA) учетной записи Microsoft и использовать его для атаки на более чем два десятка учетных записей электронной почты различных компаний и государственных организаций на Западе.
в (н глубинный анализ Что касается инцидента, компания подтвердила, что расследование кражи все еще продолжается: «Способ, которым актер получил ключ, является предметом продолжающихся расследований», — говорится в сообщении. «Хотя этот ключ предназначался только для учетных записей MSA, этому ключу можно было доверять из-за проблемы с проверкой подписи токенов Azure AD. Проблема была решена.»
Далее в отчете говорится, что расследование, начавшееся около месяца назад, показало, что действия после взлома были «ограничены доступом к электронной почте и эксфильтрацией для целевых пользователей».
С тех пор Microsoft исправила проблему и заявила, что со стороны пользователя не требуется никаких действий. Тем не менее электронные письма были взломаны, и, скорее всего, конфиденциальные данные были украдены. Группа, стоящая за атакой, прослеживается как Шторм-0558. Microsoft заявляет, что это китайская группа кибершпионов, занимающаяся кражей данных.
Анализ: Почему это важно?
Атака, скорее всего, была осуществлена спонсируемым государством китайским злоумышленником, что подразумевает, что за этим стоит китайское правительство. Кроме того, некоторые из жертв атаки — правительственные учреждения США, такие как Государственный департамент и Министерство торговли. Если китайцы получат конфиденциальную информацию с этих учетных записей электронной почты (которые, вероятно, у них есть), это может иметь серьезные последствия для национальной безопасности. Кроме того, доступ к частным конфиденциальным данным позволяет злоумышленникам запускать еще более разрушительные атаки, включая кражу личных данных, мошенничество с использованием электронных средств, программы-вымогатели и многое другое.
В последнее время отношения между США и Китаем значительно ухудшились. По мере того как напряженность вокруг развития инфраструктуры 5G обострялась, а администрация Трампа запретила Huawei разрабатывать ключевые части сети, ситуация на Тайване начала накаляться. Поскольку Китай, похоже, готовится к полномасштабному вторжению, чтобы воссоединить Тайвань, как он утверждает, с материковым Китаем и восстановить его суверенитет, президент США Джо Байден заявил, что штаты также будут защищать островное государство с помощью оружия, если это необходимо.
Кража конфиденциальных данных у правительства США может дать Китаю преимущество в борьбе со своим западным противником на мировой арене.
Что другие сказали об этом?
Microsoft заявила, что обнаружила кампанию, которая на тот момент была активной около месяца, по совету клиента. Позже выяснилось, что заказчиком на самом деле был Госдеп США.
Атака была проведена с использованием токенов проверки подлинности, которые позволили злоумышленникам получить доступ к электронной почте с помощью приобретенного ключа подписи пользователя учетной записи Microsoft, подтвердила компания. Это ключ, который Microsoft до сих пор не знает, как он был украден.
«Расследования Microsoft показали, что Storm-0558 получил доступ к учетным записям электронной почты клиентов через Outlook Web Access в Exchange Online (OWA) и Outlook.com, подделав токены аутентификации для доступа к электронной почте пользователя», — пояснили в Microsoft.
«Актер использовал купленный ключ MSA для подделки токенов для доступа к OWA и Outlook.com. Ключи MSA (потребитель) и ключи Azure AD (предприятие) выдаются и управляются отдельными системами и должны быть действительны только для соответствующих систем. Злоумышленник воспользовался проблемой проверки токена, чтобы выдать себя за пользователя Azure AD и получить доступ к корпоративной электронной почте. У нас нет доказательств того, что этот субъект использовал ключи Azure AD или другие ключи MSA. OWA и Outlook.com — единственные сервисы, в которых мы наблюдали действия актера с купленным ключом MSA с использованием поддельных токенов».
Microsoft добавила, что потенциально затронутым клиентам не нужно ничего делать для обеспечения безопасности, поскольку обновление было разработано компанией. Софтверный гигант из Редмонда заявил, что напрямую связался с пострадавшими компаниями и предоставил им важную информацию о мерах по смягчению последствий и ответных мерах. «Если с вами не связывались, наши расследования показывают, что вы не пострадали», — заключила Microsoft.
В своем сообщении о новостях Пищит компьютер добавил, что злоумышленники перешли на новые методы после отзыва всех активных ключей подписи MSA и устранения уязвимости API. «Кроме того, мы наблюдаем переход от Storm-0558 к другим методам, предполагающим, что субъект не может использовать или получать доступ к ключам подписи», — заявили в Microsoft.
Журнал СКС другой стороны, он напоминает своим читателям, что это была не обычная кибератака, а скорее «продвинутая и стратегически выполненная» атака.
«Атакующие из национального государства обладают ресурсами и навыками для взлома учетных записей, и они также могут остаться незамеченными, попав внутрь. В ходе этой атаки злоумышленники Storm-0558 скрывались в правительственных учетных записях электронной почты и имели доступ к данным в этих учетных записях в течение месяца, прежде чем целевые агентства заметили какую-либо необычную активность электронной почты, о которой сообщает отчет.
В публикации также отмечается, что ИТ-команды, как правило, ведут тяжелую борьбу с киберпреступниками, которые часто используют ранее неизвестные уязвимости для взлома систем и проникновения в конечные точки. Однако это не значит, что с ними нельзя бороться. Это просто означает, что им нужен «многоуровневый подход к безопасности», включающий MFA, программы безопасности приложений, обнаружение аномалий на основе поведения и многое другое.
идти глубже
Если вы хотите узнать больше об этой атаке, обязательно прочитайте наш первый отчет. Вам также следует прочитать наше подробное руководство по фишингу, лучшим брандмауэрам для малого и среднего бизнеса и наше руководство по лучшим инструментам для удаления вредоносных программ на данный момент.
