Hackers chineses exploraram uma falha no serviço de e-mail em nuvem da Microsoft para obter acesso às contas de e-mail de funcionários do governo dos EUA, confirmou a gigante da tecnologia.
O grupo de hackers, rastreado como Storm-0558, comprometeu aproximadamente 25 contas de e-mail, incluindo agências governamentais, bem como contas de consumidores relacionadas vinculadas a indivíduos associados a essas organizações, de acordo com a Microsoft. “Storm” é um apelido usado pela Microsoft para rastrear grupos de hackers que são novos, emergentes ou “em desenvolvimento”.
A Microsoft não identificou as agências governamentais visadas pelo Storm-0558. No entanto, Adam Hodge, porta-voz do Conselho de Segurança Nacional da Casa Branca, confirmou ao TechCrunch que as agências governamentais dos EUA foram afetadas.
“No mês passado, as salvaguardas do governo dos EUA identificaram uma invasão na segurança da nuvem da Microsoft, que afetou sistemas não classificados”, disse Hodge ao TechCrunch em um comunicado. “Os funcionários imediatamente contataram a Microsoft para encontrar a fonte e a vulnerabilidade em seu serviço de nuvem. Continuamos a manter os fornecedores de compras do governo dos EUA em um alto limite de segurança.
A investigação da Microsoft determinou que o Storm-0558, um grupo de hackers com sede na China que a empresa descreve como um adversário “com bons recursos”, obteve acesso a contas de e-mail usando o Outlook Web Access no Exchange Online (OWA) e o Outlook.com falsificando tokens de autenticação para acessar contas de usuário. em seu análise técnica do ataque, a Microsoft explicou que os hackers usaram uma chave de assinatura de consumidor adquirida da Microsoft para forjar tokens para acessar OWA e Outlook.com. Em seguida, os hackers exploraram um problema de validação de token para representar usuários do Azure AD e obter acesso a contas de email corporativas.
A atividade maliciosa do Storm-0885 passou despercebida por cerca de um mês, até que os clientes alertaram a Microsoft sobre atividade anômala de e-mail, disse a Microsoft.
“Avaliamos que esse adversário está focado em espionagem, como obter acesso a sistemas de e-mail para coleta de informações. Esse tipo de adversário motivado por espionagem busca abusar de credenciais e obter acesso a dados que residem em sistemas confidenciais”, disse Charlie Bell, principal executivo de segurança cibernética da Microsoft.
A Microsoft disse que o ataque foi mitigado com sucesso e que Storm-0558 não tem mais acesso às contas comprometidas. No entanto, a empresa não disse se algum dado sensível foi exfiltrado durante o período de um mês que os invasores tiveram acesso.
Link do Autor