Microsoft je u utorak otkrio da je odbio kibernetički napad koji je organizovao haker kineske nacionalne države koji je ciljao na dvadesetak organizacija, od kojih neke uključuju vladine agencije, u kampanji kibernetičke špijunaže osmišljene za sticanje povjerljivih podataka.
Napadi, koji su počeli 15. maja 2023. godine, doveli su do pristupa nalozima email-a koji su uticali na otprilike 25 entiteta i mali broj povezanih pojedinačnih korisničkih naloga.
Tehnološki gigant je kampanju pripisao Storm-0558, opisujući je kao grupu aktivnosti nacije-države sa sjedištem u Kini koja prvenstveno napada vladine agencije u zapadnoj Evropi.
“Oni se fokusiraju na špijunažu, krađu podataka i pristup kredencijalima” rekao je Microsoft. “Takođe je poznato da koriste prilagođeni malver koji Microsoft prati kao Cigril i Bling, za pristup kredencijalima.”
Navodi se da je kršenje otkriveno mjesec dana kasnije, 16. juna 2023. godine, nakon što je nepoznati kupac prijavio anomalnu aktivnost email-a kompaniji.
Microsoft je rekao da je obavijestio sve ciljane ili ugrožene organizacije direktno preko njihovih tenant administratora. Nije navedeno koje su organizacije i agencije pogođene i broj naloga koji su možda hakovani.
Međutim, prema Washington Post-u, napadači su provalili i u niz neklasifikovanih američkih email naloga.
Pristup korisničkim nalozima email-a, prema Redmond-u, olakšan je putem Outlook Web Access u Exchange Online (OWA) i Outlook.com falsifikovanjem tokena za autentifikaciju.
“Haker je koristio stečeni MSA ključ za krivotvorenje tokena za pristup OWA i Outlook.com” objašnjava se. “MSA (potrošački) ključevi i Azure AD (kompanijski) ključevi se izdaju i njima se upravlja iz zasebnih sistema i trebali bi biti važeći samo za svoje odgovarajuće sisteme.”
“Haker je iskoristio problem validacije tokena da se lažno predstavlja za Azure AD korisnike i dobije pristup poslovnom email-u.”
Nema dokaza da je haker koristio Azure AD ključeve ili bilo koje druge MSA ključeve za izvođenje napada. Microsoft je od tada blokirao upotrebu tokena potpisanih stečenim MSA ključem u OWA kako bi ublažio napad.
„Ova vrsta protivnika motivisanog špijunažom nastoji da zloupotrebi kredencijale i dobije pristup podacima koji se nalaze u osetljivim sistemima“ rekao je Čarli Bel, izvršni potpredsednik Microsoft bezbjednosti.
Ovo otkrivanje dolazi više od mjesec dana nakon što je Microsoft razotkrio napade na kritičnu infrastrukturu koje je pokrenuo kineski neprijateljski kolektiv pod nazivom Volt Typhoon (poznat i kao Bronze Silhouette ili Vanguard Panda) usmjeren na SAD.
Izvor: The Hacker News
