Κινέζοι χάκερς έκλεψαν δεκάδες χιλιάδες μηνύματα ηλεκτρονικού ταχυδρομείου από λογαριασμούς του αμερικανικού υπουργείου Εξωτερικών μετά την παραβίαση της πλατφόρμας ηλεκτρονικού ταχυδρομείου Exchange της Microsoft που βασίζεται στο cloud τον Μάιο.
Κατά τη διάρκεια πρόσφατης ενημέρωσης του προσωπικού της Γερουσίας, αξιωματούχοι του αμερικανικού υπουργείου Εξωτερικών αποκάλυψαν ότι οι επιτιθέμενοι έκλεψαν τουλάχιστον 60.000 μηνύματα ηλεκτρονικού ταχυδρομείου από λογαριασμούς Outlook που ανήκαν σε αξιωματούχους του Στέιτ Ντιπάρτμεντ που υπηρετούν στην Ανατολική Ασία, τον Ειρηνικό και την Ευρώπη, όπως ανέφερε πρώτο το Reuters.
Επιπλέον, οι χάκερ κατάφεραν να αποκτήσουν μια λίστα που περιείχε όλους τους λογαριασμούς ηλεκτρονικού ταχυδρομείου του υπουργείου. Τις αναφορές επιβεβαίωσε και ο εκπρόσωπος του Στέιτ Ντιπάρτμεντ Μάθιου Μίλερ σε συνέντευξη Τύπου την Πέμπτη.
Παραβιάσεις ηλεκτρονικού ταχυδρομείου που συνδέονται με την Storm-0558
Τον Ιούλιο, η Microsoft αποκάλυψε ότι, αρχής γενομένης από τις 15 Μαΐου 2023, απειλητικοί φορείς παραβίασαν με επιτυχία λογαριασμούς του Outlook που σχετίζονται με περίπου 25 οργανισμούς. Οι οργανισμοί που παραβιάστηκαν περιλαμβάνουν τα υπουργεία Εξωτερικών και Εμπορίου των ΗΠΑ και ορισμένους λογαριασμούς καταναλωτών που πιθανώς συνδέονται με αυτούς.
Η Microsoft δεν αποκάλυψε συγκεκριμένες λεπτομέρειες σχετικά με τους επηρεαζόμενους οργανισμούς, τις κυβερνητικές υπηρεσίες ή τις χώρες που επηρεάστηκαν από αυτή την παραβίαση ηλεκτρονικού ταχυδρομείου.
Η εταιρεία απέδωσε τις επιθέσεις σε μια ομάδα hackers γνωστή ως Storm-0558, η οποία πιθανολογείται ότι επικεντρώθηκε στην απόκτηση ευαίσθητων πληροφοριών διεισδύοντας στα συστήματα ηλεκτρονικού ταχυδρομείου των στόχων της.
Νωρίτερα αυτό το μήνα, η Microsoft αποκάλυψε ότι η ομάδα απειλών απέκτησε αρχικά ένα κλειδί υπογραφής καταναλωτή από μια απόρριψη συντριβής των Windows, μια παραβίαση που διευκολύνθηκε μετά την παραβίαση του εταιρικού λογαριασμού ενός μηχανικού της Microsoft, η οποία επέτρεψε την πρόσβαση στους κυβερνητικούς λογαριασμούς ηλεκτρονικού ταχυδρομείου.
Το κλεμμένο κλειδί λογαριασμού Microsoft (MSA) χρησιμοποιήθηκε για να παραβιάσει λογαριασμούς Exchange Online και Azure Active Directory (AD) εκμεταλλευόμενος μια προηγουμένως επιδιορθωμένη ευπάθεια επικύρωσης μηδενικής ημέρας στο GetAccessTokenForResourceAPI. Το ελάττωμα επέτρεψε στους επιτιθέμενους να δημιουργήσουν πλαστά υπογεγραμμένα διακριτικά πρόσβασης, τα οποία τους επέτρεψαν να υποδυθούν λογαριασμούς εντός των στοχευμένων οργανισμών.
Σε απάντηση στην παραβίαση της ασφάλειας, η Microsoft ανακάλεσε το κλεμμένο κλειδί υπογραφής και, κατόπιν ερευνών, δεν διαπίστωσε πρόσθετες περιπτώσεις μη εξουσιοδοτημένης πρόσβασης σε λογαριασμούς πελατών μέσω της ίδιας μεθόδου πλαστογράφησης token πρόσβασης.
Υπό την πίεση του Οργανισμού Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA), η Microsoft συμφώνησε επίσης να διευρύνει την πρόσβαση σε δεδομένα καταγραφής στο cloud χωρίς κόστος, τα οποία θα βοηθήσουν τους υπερασπιστές δικτύων να εντοπίσουν πιθανές απόπειρες παραβίασης παρόμοιας φύσης στο μέλλον.
Προηγουμένως, τέτοιες δυνατότητες καταγραφής ήταν προσβάσιμες αποκλειστικά σε πελάτες με άδειες καταγραφής Purview Audit (Premium). Εξαιτίας αυτού, η Microsoft αντιμετώπισε επικρίσεις επειδή εμπόδιζε τους οργανισμούς να εντοπίσουν άμεσα τις επιθέσεις της Storm-0558.
Ο Anastasis είναι ένας από τους κορυφαίους αρθρογράφους μας, ειδικευμένος σε θέματα κυβερνοασφάλειας.
Με την εμπειρία του, παρέχει στην κοινότητα πολύτιμες γνώσεις και συμβουλές.