Microsoft ha rivelato martedì di aver respinto un attacco informatico messo in atto da un qualche malintenzionato con sede in Cina che mirava a due dozzine di organizzazioni, alcune delle quali includevano agenzie governative, in una campagna di spionaggio informatico volta a ottenere dati confidenziali.
Cosa si sa da Microsoft di questo attacco informatico
Gli attacchi, che sono iniziati il 15 maggio 2023, hanno comportato l’accesso a account di posta elettronica che hanno coinvolto circa 25 entità e un piccolo numero di account individuali di consumatori correlati.
Il gigante tecnologico ha attribuito l’attacco informatico a Storm-0558, descrivendola come un gruppo di attività di uno Stato nazionale con sede in Cina che si concentra principalmente sulle agenzie governative dell’Europa occidentale.
“Si concentrano sulla spionaggio, il furto di dati e l’accesso alle credenziali“, ha dichiarato Microsoft. “Sono noti anche per l’utilizzo di malware personalizzati che Microsoft segue come Cigril e Bling, per l’accesso alle credenziali“.
Si dice che la violazione sia stata rilevata un mese dopo, il 16 giugno 2023, dopo che un cliente non identificato ha segnalato l’attività anomala delle email all’azienda.
Microsoft ha affermato di aver informato direttamente tutte le organizzazioni bersaglio o compromesse tramite i loro amministratori. Non ha citato le organizzazioni e le agenzie interessate e il numero di account che potrebbero essere stati hackerati.
Tuttavia, secondo il Washington Post, i cybercriminali hanno anche violato diversi account email non classificati degli Stati Uniti.
L’accesso agli account di posta elettronica dei clienti, secondo Redmond, è stato facilitato tramite Outlook Web Access in Exchange Online (OWA) e Outlook.com mediante la falsificazione di token di autenticazione.
“L’autore ha utilizzato una chiave MSA acquisita per falsificare token per accedere a OWA e Outlook.com“, ha spiegato Microsoft. “Le chiavi MSA (consumer) e le chiavi Azure AD (enterprise) vengono emesse e gestite da sistemi separati e dovrebbero essere valide solo per i rispettivi sistemi“.
È stato poi aggiunto: “L’autore ha sfruttato un problema di convalida dei token per impersonare gli utenti di Azure AD e ottenere accesso alle email aziendali“.
Cos’altro è trapelato da questo attacco informatico dalla Cina?
Non ci sono prove che chi ha avviato questo attacco informatico abbia utilizzato chiavi Azure AD o altre chiavi MSA per effettuare gli attacchi. Microsoft ha successivamente bloccato l’uso dei token firmati con la chiave MSA acquisita in OWA per mitigare l’attacco.
“Questo tipo di avversario motivato dallo spionaggio cerca di abusare delle credenziali e ottenere accesso ai dati presenti in sistemi sensibili“, ha dichiarato Charlie Bell, vicepresidente esecutivo di Microsoft Security.
La divulgazione arriva più di un mese dopo che Microsoft ha rivelato attacchi alle infrastrutture critiche messi in atto da un collettivo avversario cinese chiamato Volt Typhoon (noto anche come Bronze Silhouette o Vanguard Panda) che prendeva di mira gli Stati Uniti.
