Китайские хакеры похитили десятки тысяч электронных писем с учетных записей Государственного департамента США после взлома облачной почтовой платформы Exchange компании Microsoft в мае этого года.
Как сообщило агентство Reuters, в ходе недавнего брифинга для сотрудников Сената представители Госдепартамента США рассказали, что злоумышленники похитили не менее 60 тыс. электронных писем из учетных записей Outlook, принадлежащих сотрудникам Госдепартамента, работающим в странах Восточной Азии, Тихоокеанского региона и Европы.
Кроме того, хакерам удалось получить список, содержащий все учетные записи электронной почты департамента. Скомпрометированные сотрудники Госдепартамента в основном занимались дипломатией в Индо-Тихоокеанском регионе.
"Нам необходимо усилить нашу защиту от подобных кибератак и вторжений в будущем, и мы должны внимательно посмотреть на зависимость федерального правительства от одного поставщика как на потенциально слабое место", - говорится в заявлении сенатора Эрика Шмитта.
Эти сообщения подтвердил и представитель Госдепартамента Мэтью Миллер на пресс-брифинге в четверг.
"Да, в результате взлома было удалено около 60 000 несекретных электронных писем. Нет, секретные системы не были взломаны. Они касались только несекретной системы", - сказал Миллер журналистам.
"На данный момент мы не установили авторство, но, как я уже говорил, у нас нет причин сомневаться в авторстве, которое публично озвучила компания Microsoft. Это снова был взлом систем Microsoft, который обнаружил Госдепартамент и уведомил об этом Microsoft".
Взломы электронной почты, связанные с китайскими кибершпионами Storm-0558
В июле компания Microsoft сообщила, что начиная с 15 мая 2023 г. угрожающие субъекты успешно взломали учетные записи Outlook, связанные примерно с 25 организациями. В число взломанных организаций входят Государственный и Торговый департаменты США, а также некоторые потребительские учетные записи, предположительно связанные с ними.
Компания Microsoft не раскрыла конкретных сведений о пострадавших организациях, правительственных учреждениях и странах, подвергшихся воздействию этой атаки.
Компания приписывает эти атаки группе кибершпионажа под названием Storm-0558, которая, как предполагается, стремится получить конфиденциальную информацию путем проникновения в почтовые системы своих целей.
Ранее в этом месяце Microsoft сообщила, что угрожающая группа впервые получила ключ подписи потребителя из аварийного дампа Windows, что было сделано после взлома корпоративной учетной записи инженера Microsoft, что позволило получить доступ к правительственным почтовым ящикам.
Похищенный ключ Microsoft Account (MSA) был использован для компрометации учетных записей Exchange Online и Azure Active Directory (AD) путем эксплуатации ранее исправленной уязвимости нулевого дня в GetAccessTokenForResourceAPI. Эта уязвимость позволяла злоумышленникам генерировать поддельные подписанные токены доступа, что давало им возможность выдавать себя за учетные записи в целевых организациях.
В ответ на нарушение безопасности компания Microsoft отозвала украденный ключ подписи и, проведя расследование, не обнаружила дополнительных случаев несанкционированного доступа к учетным записям клиентов с помощью того же метода подделки маркеров доступа.
Под давлением Агентства по кибербезопасности и защите инфраструктуры (CISA) Microsoft также согласилась бесплатно расширить доступ к данным облачных журналов, что поможет сетевым защитникам выявлять возможные попытки взлома подобного рода в будущем.
Ранее такие возможности были доступны только клиентам с лицензиями на ведение журнала Purview Audit (Premium). В связи с этим Microsoft подверглась критике за то, что не позволяет организациям оперативно обнаружить атаки Storm-0558.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!