0
0
A Microsoft ainda não sabe — ou não quer compartilhar — como hackers supostamente apoiados pela China roubaram uma chave que lhes permitiu invadir dezenas de caixas de e-mail, incluindo algumas pertencentes a agências do governo dos EUA.
Em uma postagem em seu blog na sexta-feira, 14, a Microsoft disse que a investigação sobre como os hackers obtiveram uma chave de assinatura que foi explorada para forjar tokens de autenticação que permitiram o acesso dos hackers às caixas de e-mail como se fossem os legítimos proprietários ainda estava em andamento. Os relatórios dizem que os alvos incluem a secretária de Comércio dos EUA, Gina Raimondo, funcionários do Departamento de Estado dos EUA e outras organizações ainda não reveladas.
A Microsoft divulgou o incidente na última terça-feira, 11, atribuindo a atividade a um grupo de espionagem recém-descoberto que chamou de Storm-0558, o qual ela acredita ter um forte vínculo com a China.
A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA disse que os hacks, que começaram em meados de maio, incluíam um pequeno número de contas do governo com um dígito e que os hackers extraíram alguns dados de e-mail não sigilosos. Embora o governo dos EUA não tenha atribuído publicamente os hacks a algum grupo ligado ao governo chinês, o principal porta-voz do Ministério das Relações Exteriores da China negou as acusações na quarta-feira passada, 12.
O grupo supostamente apoiado pela China usou vulnerabilidades desconhecidas para invadir ios servidores de e-mail da Microsoft e roubar dados corporativos. E foi diretamente à fonte, visando vulnerabilidades novas e não divulgadas na nuvem da fabricante de software.
Em seu blog, a Microsoft disse que os hackers adquiriram uma das chaves de assinatura de usuários — ou chave MSA —, que a empresa usa para proteger as contas de e-mail, para acessar o Outlook.com. A gigante do software disse que inicialmente pensou que os hackers estavam forjando tokens de autenticação usando uma chave de assinatura corporativa adquirida, que é usada para proteger contas de e-mail de pessoas e corporativas. Mas acabou descobrindo que os hackers estavam usando essa chave MSA do usuário para forjar tokens que permitiam que invadissem as caixas de e-mail corporativas. A Microsoft disse que isso ocorreu devido a um “erro de validação no código da empresa”.
Ela disse que bloqueou “todas as atividades dos hackers” relacionadas a esse incidente, sugerindo que o ataque acabou e que os hackers perderam o acesso. Embora não esteja claro como a Microsoft perdeu o controle de suas próprias chaves, a empresa disse que fortaleceu seus sistemas de emissão de chaves, presumivelmente para impedir que hackers produzissem outra chave digital.
Com a ameaça considerada encerrada, a Microsoft agora enfrenta um escrutínio sobre como lidou com o incidente, considerado que foi a maior violação de dados não sigilosos do governo americano desde a campanha de espionagem russa que invadiu a SolarWinds em 2020. A Microsoft também está sendo criticada por reservar logs de segurança para as contas do governo, o que poderia ter ajudado outros “socorristas” a identificar as atividades maliciosas.
A rede CNN relatou primeiro que o Departamento de Estado inicialmente detectou a violação e a relatou à Microsoft. Mas nem todos os departamentos do governo tinham o mesmo nível de registro de segurança, que, de acordo com o The Wall Street Journal, estava disponível para departamentos com contas da Microsoft de nível mais alto, mas não para outros.
Mary Jo Foley, editora-chefe da Directions on Microsoft, uma empresa de consultoria para clientes da Microsoft, disse em um post de blog nesta segunda-feira, 17, que o “nível inferior” do governo oferece algum registro, mas “não mantém o controle de dados específicos da caixa de correio que teriam revelado o ataque”.
Um funcionário da CISA criticou a falta de registro disponível em uma conversa com repórteres na semana passada. A Microsoft disse ao The Wall Street Journal que estava “avaliando o feedback”.
FONTE: CISOADVISOR