Битва титанов: Microsoft противостояла правительственной группе Storm-0558 из Китая

Microsoft объявила об успешном отражении кибератаки, организованной правительственными хакерами из Китая, направленной против 25 организаций, включая правительственные агентства, в рамках кибершпионской кампании с целью получения конфиденциальных данных.

Атаки начались 15 мая 2023 года и предполагали получение доступа к почтовым аккаунтам, затрагивая 25 организаций и небольшое количество индивидуальных пользовательских аккаунтов.

Microsoft связывает атаки с группировкой Storm-0558, описывая её как APT-группу, базирующуюся в Китае и спонсируемой китайским правительством. По данным экспертов, группа в основном нацеливается на федеральные агентства Западной Европы с целью шпионажа, кражи данных и получения учетных данных. Известно, что хакеры Storm-0558 используют специально созданные вредоносные программы, которые Microsoft отслеживает под названиями Cigril и Bling, для получения учетных данных.

Обнаружение нарушения произошло спустя месяц, 16 июня 2023 года, после того как один из клиентов сообщил о подозрительной активности в почтовых аккаунтах Microsoft. Компания уведомила все затронутые организации и агентства через их администраторов. При этом не были раскрыты названия затронутых организаций и агентств, а также количество взломанных аккаунтов.

Доступ к аккаунтам клиентов был осуществлен через Outlook Web Access в Exchange Online (OWA) и Outlook.com путем подделки авторизационных токенов (OAuth-токен).

Злоумышленник использовал приобретенный MSA-ключ (Managed Service Accounts, управляемые учетные записи) для подделки токенов и получения доступа к OWA и Outlook.com. MSA-ключи (потребительские) и Azure AD (предприятия) выдаются и управляются из разных систем и должны быть действительными только для соответствующих систем.

Атакующая сторона эксплуатировала уязвимость в проверке токенов для подмены пользователей Azure AD и получения доступа к почте целевой организации.

На данный момент нет доказательств использования ключей Azure AD или других MSA-ключей для осуществления атак. Однако Microsoft заблокировала использование токенов, подписанных приобретенным ключом MSA в OWA, чтобы снизить угрозу.

Напомним, что администрация Байдена планирует о граничить доступ китайских компаний к услугам облачных вычислений США . Предлагаемое ограничение рассматривается как способ закрыть значительную лазейку. Аналитики национальной безопасности предупреждают, что китайские компании, занимающиеся искусственным интеллектом, могли обойти действующие правила экспортного контроля, используя облачные сервисы.

Кроме того, сегодня Microsoft сообщила о неисправленной уязвимости нулевого дня в нескольких продуктах Windows и Office, которая использовалась в дикой природе для удаленного выполнения кода (Remote Code Execution, RCE) с помощью вредоносных документов Office.