Chińscy hakerzy używają sfałszowanych tokenów

Według giganta technologicznego hakerzy uzyskali dostęp do kont około 25 organizacji, w tym agencji rządowych i kont konsumenckich należących do osób powiązanych z atakowanymi podmiotami.

Dochodzenie Microsoftu wykazało, że cyberprzestępca sfałszował tokeny uwierzytelniające, by uzyskać dostęp do kont mailowych klientów za pomocą Outlook Web Access w Exchange Online (OWA) i Outlook.com. Osoby atakujące użyły klucza podpisywania konta Microsoft (MSA) konsumenta, aby sfałszować tokeny.

„Klucze MSA (konsumenckie) i klucze Azure AD (korporacyjne) są wydawane i zarządzane z oddzielnych systemów i powinny być ważne tylko dla odpowiednich systemów” – wyjaśnia Microsoft. „Aktor wykorzystał problem z weryfikacją tokena, aby podszyć się pod użytkowników usługi Azure AD i uzyskać dostęp do poczty firmowej. Nie mamy żadnych wskazówek, że klucze usługi Azure AD lub jakiekolwiek inne klucze MSA były używane przez tego aktora”.

Firma zwraca uwagę, że tylko OWA i Outlook.com były atakowane przy użyciu sfałszowanych tokenów uwierzytelniających.

Microsoft podaje też, że o atakach dowiedział się 16 czerwca, a dochodzenie wykazało, iż aktywność przestępców rozpoczęła się miesiąc wcześniej.

Firma podjęła kroki w celu złagodzenia skutków ataku, w tym zablokowano użycie tokenów podpisanych za pomocą skompromitowanego klucza i zastąpiono sam klucz. Klienci, których dotyczy problem, zostali powiadomieni i otrzymali informacje potrzebne do reagowania na incydenty.

Microsoft informuje, że grupa Storm-0558 atakuje głównie agencje rządowe w Europie Zachodniej, koncentrując się na cyberszpiegostwie, kradzieży danych i dostępie do poświadczeń.

CNN dowiedziało się jednak, że niesklasyfikowane konta e-mail rządu USA również stały się celem chińskich cyberszpiegów. Luka, która umożliwiła atak, została podobno wykryta przez rząd USA, a konkretnie Departament Stanu, który następnie powiadomił Microsoft.

We wtorek 11 lipca, kiedy firma informowała klientów o ponad 130 nowych lukach w zabezpieczeniach, w tym kilku aktywnie wykorzystywanych lukach dnia zerowego, ujawniono również, że rosyjski cyberprzestępca znany jako Storm-0978 i RomCom wykorzystał lukę dnia zerowego śledzoną jako CVE-2023-36884 w atakach wymierzonych w jednostki obronne i rządowe w Europie i Ameryce Północnej. Możecie o tym przeczytać tutaj.

Grupa była już znana ze swojej działalności cyberprzestępczej, ale ostatnio zwróciła się w stronę szpiegostwa. Zaobserwowano, że atakuje gości szczytu NATO i inne podmioty wspierające Ukrainę.