Місяць колупалися у файлах. Китайські хакери зламали електронну пошту держслужбовців США
«Минулого місяця державні служби безпеки США виявили вторгнення в систему безпеки хмарних сервісів Microsoft, яке зачепило несекретні системи. Офіційні особи негайно зв’язалися з Microsoft, щоб знайти джерело і вразливість у їхньому хмарному сервісі. Ми продовжуємо пред’являти високі вимоги до безпеки до постачальників послуг уряду США», — заявив Адам Ходж, представник Ради національної безпеки Білого дому.
Офіційні дані про урядові установи, які постраждали під час атаки, не надходили. Однак журналісти The Wall Street Journal дізналися, що серед зламаних акаунтів були облікові записи співробітників Державного департаменту США.
Microsoft почала розслідування злому. Корпорація додає частку Storm до назви всіх хакерських груп, які зароджуються або перебувають у процесі формування. За даними корпорації, Storm-0558 «добре забезпечена ресурсами». Зловмисники отримали доступ до електронної пошти за допомогою Outlook Web Access в Exchange Online (OWA). Вони підробили токени аутентифікації, а потім застосували уразливість у їхній перевірці. У результаті хакерам вдалося видати себе за користувачів Azure AD і отримати доступ до корпоративних облікових записів електронної пошти.
За словами представників Microsoft, шкідлива діяльність Storm-0558 була непомітною протягом місяця, поки люди не повідомили про аномальну активність. Наразі злам ліквідували, і хакери більше не мають доступу до скомпрометованих акаунтів.
«За нашими оцінками, цей противник націлений на шпигунство, наприклад, на отримання доступу до систем електронної пошти для збору розвідувальної інформації. Цей тип противника, мотивований шпигунством, прагне зловживати обліковими даними й отримати доступ до даних, що зберігаються у важливих системах», — заявив Чарлі Белл, керівник підрозділу кібербезпеки Microsoft.
Корпорація не повідомила, чи вдалося зловмисникам отримати конфіденційну інформацію. Однак Американське агентство з кібербезпеки CISA повідомило, що хакери заволоділи лише несекретними даними. Представник ФБР назвав злом, який тривав протягом місяця, «цілеспрямованою кампанією». Він відмовився назвати точну кількість постраждалих, але заявив, що йдеться про «однозначну кількість» держслужбовців.
Нагадаємо, раніше російські хакери злили дані про підготовку саміту НАТО. У Литві через цей інцидент почали внутрішнє розслідування.