Hackers chineses invadiram contas de e-mail do governo dos EUA explorando bug da nuvem da Microsoft

Hackers chineses exploraram uma falha no serviço de e-mail em nuvem da Microsoft para obter acesso às contas de e-mail de funcionários do governo dos EUA, confirmou a gigante da tecnologia.

O grupo de hackers, rastreado como Storm-0558, comprometeu aproximadamente 25 contas de e-mail, incluindo agências governamentais, bem como contas de consumidores relacionadas vinculadas a indivíduos associados a essas organizações, de acordo com a Microsoft. “Storm” é um apelido usado pela Microsoft para rastrear grupos de hackers que são novos, emergentes ou “em desenvolvimento”.

A Microsoft não identificou as agências governamentais visadas pelo Storm-0558. Adam Hodge, porta-voz do Conselho de Segurança Nacional da Casa Branca, confirmou ao TechCrunch que as agências governamentais dos EUA foram afetadas.

“No mês passado, as salvaguardas do governo dos EUA identificaram uma invasão na segurança da nuvem da Microsoft, que afetou sistemas não classificados”, disse Hodge ao TechCrunch em um comunicado. “Os funcionários imediatamente contataram a Microsoft para encontrar a fonte e a vulnerabilidade em seu serviço de nuvem. Continuamos a manter os fornecedores de compras do governo dos EUA em um alto limite de segurança.

O Departamento de Estado foi uma das várias agências federais comprometidas, segundo o The Wall Street Journal . State alertou a Microsoft sobre a violação, informa a CNN .

A investigação da Microsoft determinou que o Storm-0558, um grupo de hackers com sede na China que a empresa descreve como um adversário “com bons recursos”, obteve acesso a contas de e-mail usando o Outlook Web Access no Exchange Online (OWA) e o Outlook.com falsificando tokens de autenticação para acessar contas de usuário. Em sua análise técnica do ataque , a Microsoft explicou que os hackers usaram uma chave de assinatura de consumidor adquirida pela Microsoft para forjar tokens para acessar o OWA e o Outlook.com. Em seguida, os hackers exploraram um problema de validação de token para representar usuários do Azure AD e obter acesso a contas de email corporativas.

A atividade maliciosa do Storm-0885 passou despercebida por cerca de um mês, até que os clientes alertaram a Microsoft sobre atividade anômala de e-mail, disse a Microsoft.

“Avaliamos que esse adversário está focado em espionagem, como obter acesso a sistemas de e-mail para coleta de informações. Esse tipo de adversário motivado por espionagem procura abusar de credenciais e obter acesso a dados que residem em sistemas confidenciais”, disse Charlie Bell, principal executivo de segurança cibernética da Microsoft.

A Microsoft disse que o ataque foi mitigado com sucesso e que Storm-0558 não tem mais acesso às contas comprometidas. No entanto, a empresa não disse se algum dado sensível foi exfiltrado durante o período de um mês que os invasores tiveram acesso.

A agência de segurança cibernética dos EUA, CISA, disse em um comunicado que os invasores acessaram dados de e-mail não classificados.

Durante um briefing com a presença do TechCrunch na quarta-feira, um alto funcionário do FBI, que descreveu a intrusão de um mês como uma “campanha direcionada”, recusou-se a confirmar o número total de vítimas, mas disse que o número de agências governamentais afetadas estava em “um dígito .” O funcionário se recusou a nomear as agências afetadas.

Embora o impacto geral do incidente permaneça desconhecido, um alto funcionário da CISA acrescentou que a agência determinou que um ator apoiado pelo governo - que o governo dos EUA ainda não está atribuindo à China - exfiltrou uma "quantidade limitada" de dados do Exchange Online.

A CISA e o FBI estão incitando qualquer organização que detecte atividade anômala no Microsoft 365 a denunciá-la às agências.