Microsoft: Σε αναζήτηση απαντήσεων για την επίθεση από Κινέζους χάκερς
Με την άμεση απειλή να θεωρείται ότι έχει τελειώσει, η Microsoft προχωράει τώρα σε έλεγχο για το περιστατικό, που πιστεύεται ότι είναι η μεγαλύτερη παραβίαση μη διαβαθμισμένων κυβερνητικών δεδομένων από τη ρωσική εκστρατεία κατασκοπείας που χάκαρε το SolarWinds το 2020.
Η Microsoft εξακολουθεί να μην γνωρίζει πώς οι χάκερς που υποστηρίζονται από την Κίνα έκλεψαν ένα κλειδί που τους επέτρεψε να παραβιάσουν κρυφά δεκάδες εισερχόμενα email, συμπεριλαμβανομένων εκείνων που ανήκουν σε διάφορες ομοσπονδιακές κυβερνητικές υπηρεσίες.
Οι αναφορές αναφέρουν ότι οι στόχοι περιλαμβάνουν την υπουργό Εμπορίου των ΗΠΑ Τζίνα Ραϊμόντο, αξιωματούχους του Στέιτ Ντιπάρτμεντ και άλλους οργανισμούς που δεν έχουν ακόμη αποκαλυφθεί δημόσια.
Η Microsoft αποκάλυψε το περιστατικό την περασμένη Τρίτη, αποδίδοντας τη δραστηριότητα διάρκειας ενός μήνα σε μια πρόσφατα ανακαλυφθείσα ομάδα κατασκοπείας που ονομάζει Storm-0558, η οποία πιστεύει ότι έχει ισχυρό δεσμό με την Κίνα. Η αμερικανική υπηρεσία κυβερνοασφάλειας CISA δήλωσε ότι οι υποκλοπές, οι οποίες ξεκίνησαν στα μέσα Μαΐου, περιελάμβαναν έναν μικρό αριθμό κυβερνητικών λογαριασμών που λέγεται ότι είναι μονοψήφιοι.
Ενώ η κυβέρνηση των ΗΠΑ δεν έχει αποδώσει δημοσίως τις υποκλοπές, ο κορυφαίος εκπρόσωπος του υπουργείου Εξωτερικών της Κίνας αρνήθηκε τους ισχυρισμούς την Τετάρτη.
Η Κίνα έχει χρησιμοποιήσει προηγουμένως άγνωστες ευπάθειες για να χακάρει μεμονωμένα διακομιστές ηλεκτρονικού ταχυδρομείου που υποστηρίζονται από τη Microsoft για να κλέψει εταιρικά δεδομένα, αλλά αυτή τη φορά η συγκεκριμένη ομάδα hacking πήγε απευθείας στην πηγή στοχεύοντας νέα προβλήματα στο cloud της Microsoft.
Στην ανάρτησή της στο blog, η Microsoft δήλωσε ότι οι χάκερς απέκτησαν ένα από τα κλειδιά υπογραφής καταναλωτών ή κλειδί MSA, το οποίο χρησιμοποιεί η εταιρεία για να ασφαλίσει τους λογαριασμούς ηλεκτρονικού ταχυδρομείου των καταναλωτών, όπως για πρόσβαση στο Outlook.com. Η Microsoft δήλωσε ότι αρχικά νόμιζε ότι οι χάκερς πλαστογραφούσαν διακριτικά ελέγχου ταυτότητας χρησιμοποιώντας ένα κλειδί υπογραφής επιχείρησης, το οποίο χρησιμοποιείται για την ασφάλεια εταιρικών λογαριασμών ηλεκτρονικού ταχυδρομείου. Όμως, η Microsoft διαπίστωσε ότι οι χάκερς χρησιμοποιούσαν αυτό το κλειδί MSA καταναλωτή για να πλαστογραφήσουν μάρκες που τους επέτρεψαν να εισέλθουν στα εισερχόμενα των επιχειρήσεων.
Οι χάκερ έκαναν ένα βασικό λάθος. Χρησιμοποιώντας το ίδιο κλειδί για την είσοδο σε πολλά εισερχόμενα, η Microsoft δήλωσε ότι αυτό επέτρεψε στους ερευνητές “να δουν όλα τα αιτήματα πρόσβασης που ακολούθησαν αυτό το μοτίβο τόσο στα εταιρικά όσο και στα καταναλωτικά συστήματα”. Δηλαδή, η Microsoft γνωρίζει ποιος παραβιάστηκε και είπε ότι ειδοποίησε όσους λογαροασμούς είχαν παραβιαστεί.
Με την άμεση απειλή να θεωρείται ότι έχει τελειώσει, η Microsoft προχωράει τώρα σε έλεγχο για το περιστατικό, που πιστεύεται ότι είναι η μεγαλύτερη παραβίαση μη διαβαθμισμένων κυβερνητικών δεδομένων από τη ρωσική εκστρατεία κατασκοπείας που χάκαρε το SolarWinds το 2020.
Το CNN ανέφερε για πρώτη φορά ότι το Στέιτ Ντιπάρτμεντ εντόπισε αρχικά την παραβίαση και την ανέφερε στη Microsoft. Ωστόσο, δεν είχαν όλα τα κυβερνητικά τμήματα το ίδιο επίπεδο καταγραφής ασφαλείας, το οποίο σύμφωνα με την The Wall Street Journal ήταν διαθέσιμο σε τμήματα με υψηλότερους αμειβόμενους λογαριασμούς Microsoft, αλλά όχι σε άλλα.
Η Microsoft έχει να δώσει απαντήσεις σε σωρεία ερωτήσεων που έχουν ανακύψει και είτε έχει έτοιμες τις απαντήσεις είτε όχι είναι κάτι που επιβάλλεται να κάνει άμεσα.
