Nesta primavera, um agente de ameaças chinês teve acesso a contas de e-mail em 25 agências governamentais na Europa Ocidental e nos EUA, incluindo o Departamento de Estado.
Em 11 de julho, a Microsoft informou ter reprimido uma campanha de espionagem cibernética realizada pelo grupo que acompanha como “Storm-0558”. O Storm-0558 tem sede na China e parece focado em espionagem, principalmente contra organizações governamentais ocidentais.
Fontes anônimas disseram à CNN que a campanha afetou o Departamento de Estado dos EUA, bem como uma entidade no Capitólio (mas se os atacantes foram bem-sucedidos contra este último é menos claro). Os hackers aprimoraram “apenas um punhado de contas de e-mail de funcionários em cada agência em um ataque hacker direcionado a funcionários específicos”, informou a CNN. Não está claro a que tipo de informação sensível os adversários conseguiram ter acesso.
De acordo com o perfil da Microsoft do Storm-0558, ele também é conhecido por seus dois malwares personalizados – Bling e Cigril, um Trojan que criptografa arquivos e os executa diretamente da memória do sistema para evitar a detecção.
Nesse caso, o grupo conseguiu forjar tokens de autenticação para se passar por usuários autorizados do Azure Active Directory (AD), obtendo acesso a contas de email corporativas e às informações potencialmente confidenciais contidas nelas.
“A espionagem cibernética chinesa percorreu um longo caminho desde as táticas de esmagamento e captura com as quais muitos de nós estamos familiarizados”, disse John Hultquist, analista-chefe da Mandiant no Google Cloud, em um comunicado por escrito enviado à Dark Reading. “Eles transformaram sua capacidade de uma que era dominada por campanhas amplas e barulhentas que eram muito mais fáceis de detectar. Eles eram ousados antes, mas agora estão claramente focados na furtividade.”
O que sabemos até agora sobre a campanha de espionagem chinesa
A Microsoft foi avisada pela primeira vez de atividade de e-mail anômala em 16 de junho. Depois de algumas investigações, ficou claro que uma campanha de espionagem cibernética mais ampla estava em andamento, e que datava de pelo menos um mês, até 15 de maio.
A espionagem do Storm-0558 foi habilitada por chaves de assinatura de consumidor MSA (Conta de Serviço Gerenciado) roubadas e um problema de validação que permitiu que o grupo falsificasse tokens de autenticação, se passando por usuários legítimos do Azure AD para acessar contas de email usando o Outlook.com e o cliente Outlook Web Access no Exchange Online.
Desde então, a Microsoft corrigiu o problema da chave MSA, bloqueando qualquer atividade adicional do agente de ameaça.
Ao todo, o APT parece ter comprometido 25 agências governamentais, principalmente na Europa Ocidental, bem como contas pessoais de indivíduos relacionados a essas agências. Como Charlie Bell, vice-presidente executivo de Segurança da Microsoft, observou em uma postagem no blog: “Esses adversários com bons recursos não fazem distinção entre tentar comprometer contas comerciais ou pessoais associadas a organizações visadas, uma vez que basta um login de conta comprometido com sucesso para obter acesso persistente, exfiltrar informações e atingir objetivos de espionagem”.
Desde então, a Microsoft entrou em contato com todas as vítimas conhecidas, disse a empresa, e observou que nenhuma ação adicional dos clientes é necessária.
Esta última abordagem inovadora para quebrar sistemas sensíveis pertencentes a organizações privilegiadas é apenas a mais recente evidência de que os agentes de ameaças chineses estão atualizando seu ofício. “A realidade é que estamos enfrentando um adversário mais sofisticado do que nunca, e teremos que trabalhar muito mais para acompanhá-los”, escreve Hultquist.
A Microsoft recusou um pedido para comentar esta história.
FONTE: DARK READING