Microsoft объявила, что недавно заблокировала группу хакеров, получивших название Storm-0558, которые получили доступ к учетным записям электронной почты, принадлежащим примерно 25 организациям, включая государственные учреждения.
Содержание
Как хакеры получили доступ к учетным записям электронной почты
В Сообщение блогаMicrosoft заявила, что начала расследование аномальной активности в некоторых учетных записях электронной почты 16 июня после получения уведомления от клиентов.
Его расследование показало, что начало 15 маяхакерская группа воспользовалась уязвимостью, чтобы подделать токены аутентификации и получить доступ к учетным записям Microsoft 365 организаций.
Используя скомпрометированный ключ подписи потребительской учетной записи Microsoft, хакеры могли выдавать себя за пользователей и получать доступ к учетным записям электронной почты через такие службы, как Outlook Web Access и Outlook.com.
Согласно недавнему совместному консультативный от Агентства кибербезопасности и безопасности инфраструктуры (CISA) и ФБР, федеральное агентство обнаружило подозрительную активность в своих журналах Microsoft 365.
Это привело к обнаружению того, что субъекты продвинутых постоянных угроз получили доступ к данным из некоторых учетных записей Exchange Online Outlook и удалили их.
Что такое Шторм-0558?
По данным Microsoft профиль актера Шторм-0558, описание группы следующее:
Storm-0558 (DEV-0558) — это национально-государственная группа, базирующаяся в Китае. Они сосредоточены на шпионаже, краже данных и доступе к учетным данным. Также известно, что они используют специальные вредоносные программы, которые Microsoft отслеживает как Cigril и Bling, для доступа к учетным данным.
Как проблема была решена
CISA и ФБР посоветовали организациям, использующим Exchange Online, внедрить расширенный мониторинг и ведение журналов для обнаружения подобных атак.
Их рекомендации включают в себя включение расширенных функций ведения журнала аудита и получение информации о стандартных шаблонах облачного трафика.
Microsoft утверждает, что полностью решила проблему и заблокировала доступ хакерам. Он работает с пострадавшими клиентами и уведомил их перед публичным раскрытием информации.
Компания заявила, что не нашла доказательств того, что хакеры оставались в каких-либо корпоративных системах.
Смягчение будущих кибератак
Эта последняя активность связана с ростом числа кибератак на организации по всему миру.
Сенатор США Марк Р. Уорнер, председатель Специального комитета Сената по разведке, выразил обеспокоенность по поводу сообщений о последней кибератаке и о том, что потребуется для предотвращения будущих инцидентов.
«Комитет Сената по разведке внимательно следит за серьезным нарушением кибербезопасности со стороны китайской разведки. Понятно, что КНР неуклонно совершенствует свои возможности по сбору информации, направленной против США и наших союзников. Тесная координация между правительством США и частным сектором будет иметь решающее значение для противодействия этой угрозе».
Microsoft планирует продолжать улучшать безопасность ключей и токенов учетных записей, чтобы опережать растущие киберриски.
Он подчеркнул необходимость постоянного сотрудничества и прозрачности для усиления защиты всей технологической отрасли от изощренных хакерских кампаний.
Избранное изображение: Коширо К./Shutterstock
