Китайские хакеры взломали учетные записи электронной почты правительства США

Китайские хакеры получили доступ к учетным записям электронной почты 25 организаций, включая правительственные учреждения США, используя дыру в безопасности, обнаруженную в облачной платформе Microsoft.

Как сообщает The Washington Post, Microsoft подтвердила, что смягчила атаку китайского злоумышленника, которого Microsoft называет Storm-0558. Затронутые учетные записи включают учетные записи «примерно 25 организаций, включая правительственные учреждения, а также соответствующие потребительские учетные записи лиц, вероятно, связанных с этими организациями».

Несанкционированный доступ к учетным записям обнаружило правительство США, а не Microsoft. Представитель Совета национальной безопасности Адам Ходжес заявил в своем заявлении, что «официальные лица немедленно связались с Microsoft, чтобы найти источник и уязвимость в их облачном сервисе… Мы продолжаем требовать от поставщиков закупок правительства США высокого порога безопасности».

Хакеры использовали поддельные токены аутентификации учетной записи Microsoft (MSA) для получения доступа к учетным записям электронной почты через Outlook Web Access в Exchange Online (OWA) и Outlook.com. Microsoft выдает ключи MSA (потребительские) и Azure AD (корпоративные) и управляет ими, используя отдельные системы, и они должны быть действительны только для соответствующих систем. Однако хакерам удалось выдать себя за законных пользователей, воспользовавшись проблемой проверки токена.

Microsoft заявляет, что никаких действий со стороны клиента не требуется и что она уже связалась со всеми клиентами, пострадавшими от киберинцидента. Чарли Белл, исполнительный вице-президент Microsoft Security, не только полностью смягчил атаку, но и заявил: «Мы добавили существенные автоматические обнаружения для известных индикаторов компрометации, связанных с этой атакой, чтобы усилить защиту и клиентскую среду, и мы не обнаружили никаких доказательств дальнейшего доступа». ."

В прошлом году ФБР, АНБ и Агентство кибербезопасности и безопасности инфраструктуры (CISA) выпустили совместное предупреждение, предупреждающее общественность о том, что Китай продолжает взламывать крупные телекоммуникационные компании в попытке шпионить за пользователями. Этот последний взлом подтверждает, что правительственные системы также продолжают подвергаться атакам.

Зарегистрируйтесь в SecurityWatchинформационный бюллетень с нашими главными историями о конфиденциальности и безопасности, доставленный прямо на ваш почтовый ящик.

Этот информационный бюллетень может содержать рекламу, предложения или партнерские ссылки. Подписка на новостную рассылку означает ваше согласие с нашими Условиями использования и Политикой конфиденциальности. Вы можете отказаться от подписки на информационные бюллетени в любое время.

Ваша подписка подтверждена. Следите за своим почтовым ящиком!