Microsoft advierte sobre piratas informáticos chinos que apuntan al gobierno de EE. UU. y Europa

Microsoft informó que los piratas informáticos chinos tenían acceso a las cuentas de correo electrónico del gobierno en los Estados Unidos y Europa occidental. La compañía dijo que los piratas informáticos, a quienes identificó como un grupo conocido como Storm-0558, probablemente estaban motivados por el espionaje.

El ataque, que pasó desapercibido durante un mes, apuntó a cuentas de correo electrónico utilizadas por aproximadamente 25 organizaciones, incluidas agencias gubernamentales y grupos de expertos. Microsoft dijo que los piratas informáticos podrían robar información confidencial, incluidos correos electrónicos, documentos y contraseñas.

La empresa afirmó que había notificado a las organizaciones afectadas y tomado medidas para mitigar el daño. La compañía también enfatizó trabajar con las fuerzas del orden público para investigar el ataque. En su publicación de blog, Microsoft explica :

El actor usó una clave MSA adquirida para falsificar tokens para acceder a OWA y Outlook.com. Las claves de MSA (consumidor) y las claves de Azure AD (empresa) se emiten y administran desde sistemas independientes y solo deben ser válidas para sus respectivos sistemas.

El actor aprovechó un problema de validación de tokens para hacerse pasar por usuarios de Azure AD y obtener acceso al correo empresarial. No tenemos indicios de que este actor haya usado claves de Azure AD o cualquier otra clave de MSA.

OWA y Outlook.com son los únicos servicios en los que hemos observado al actor usando tokens falsificados con la clave MSA adquirida.

Se ha asociado con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional (DHS) para atender a los clientes afectados. Microsoft agrega que dichos clientes u organizaciones han sido contactados directamente.

Así es como Microsoft resumió sus esfuerzos de mitigación para combatir este ataque:

Microsoft ha mitigado la clave MSA adquirida y nuestra telemetría indica que las actividades del actor han sido bloqueadas. Tomamos los siguientes pasos proactivos a medida que avanzaba nuestra investigación:

• Microsoft bloqueó el uso de tokens firmados con la clave MSA adquirida en OWA, lo que impidió una mayor actividad de correo empresarial de los actores de amenazas.
• Microsoft completó el reemplazo de la clave para evitar que el actor de amenazas la use para falsificar tokens.
• Microsoft bloqueó el uso de tokens emitidos con la clave para todos los clientes consumidores afectados.

Storm-0558 es un conocido grupo de hackers chino que ha estado activo durante varios años. El grupo ha sido vinculado a varios ataques de alto perfil. Y el hack es el último ataque cibernético de alto perfil dirigido a agencias gubernamentales y otras organizaciones sensibles.

En los últimos años, ha habido una creciente preocupación por la amenaza del ciberespionaje chino. Últimamente, Microsoft dice que un actor chino patrocinado por el estado apunta a la infraestructura crítica en los EE. UU . Sin embargo, el gobierno chino ha negado cualquier participación en el hackeo. El ataque se produjo después de que el país reconsiderara sus políticas para apoyar a la industria nacional de chips en medio de las restricciones estadounidenses.