Microsoft объяснила, как китайским хакерам удалось взломать аккаунты американских чиновников

Microsoft объяснила, как китайским хакерам удалось взломать аккаунты американских чиновников

Июльская атака на учётные записи Azure и Exchange обрастает новыми подробностями.

image

Компания Microsoft вчера раскрыла подробности взлома её корпоративной сети, о котором стало известно в июле. Тогда сообщалось, что хакеры из группировки Storm-0558 больше месяца находились внутри сетей компании и получили доступ к множеству аккаунтов Azure и Exchange, несколько из которых принадлежали госдепартаменту и министерству торговли США.

Storm-0558 смогли это сделать, похитив истекший ключ подписи потребительских аккаунтов Microsoft и использовав его для подделки токенов для облачного сервиса Active Directory.

Теперь стало известно, что корпоративная учётная запись одного из инженеров Microsoft ранее была взломана. Именно таким образом злоумышленники получили доступ к его ключу подписи.

По словам Microsoft, такие ключи доверяются только сотрудникам, прошедшим проверку и использующим специальные рабочие станции с многофакторной аутентификацией. Но в апреле 2021 года произошёл сбой в работе одной из таких станций, в результате чего ключ попал в корпоративную среду в файле дампа памяти.

Что касается использования ключа для доступа к корпоративным сервисам, то проблема была в том, что при объединении потребительских и корпоративных облачных сервисов в 2018 году компанией не была реализована корректная криптографическая валидация ключей.

Из-за этого система принимала запросы на доступ к корпоративной почте с токенами, подписанными потребительским ключом. Сейчас эта проблема уже устранена.

Также Microsoft заявила, что примерно в 25 организациях одна или несколько учётных записей были взломаны в ходе вредоносной кампании, которая началась 15 мая и продолжалась до 16 июня. Microsoft не знала о массовом взломе, пока клиенты не сообщили ей об этом.

Корпорация описала группировку Storm-0558 как базирующихся в Китае продвинутых злоумышленников, действия и методы которых соответствуют целям шпионажа.

По данным Microsoft, группа нацелена на широкий круг организаций. К ним относятся: дипломатические, экономические и законодательные органы управления США и Европы, лица, связанные с тайваньскими и уйгурскими геополитическими интересами, медиа-компании, аналитические центры, а также поставщики телекоммуникационного оборудования и услуг.

Вскоре после июльского взлома многие раскритиковали Microsoft за отсутствие прозрачности в отношении расследования. Данные, опубликованные компанией вчера, являются большим шагом в плане ответственности перед клиентами. Хотя редмондовской корпорации ещё предстоит проделать немалую работу в этом направлении.

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий