Storm-0558, um ator de ameaça baseado na China, recentemente obtive acesso para uma chave de consumidor de conta da Microsoft. Isto permitiu-lhes infiltrar-se e comprometer 25 organizações, incluindo aquelas pertencentes a agências governamentais.
Desde 15 de maio de 2023, eles usam tokens falsos para acessar e-mails para espionagem.
Em 11 de julho de 2023, a Microsoft implementou um bloqueio no campanha da Tempestade-0558 garantindo ao mesmo tempo que outros ambientes não foram afetados.
A secretária de Comércio dos EUA, Gina Raimondo, e outros indivíduos importantes podem ter tido seus e-mails privados acessados por hackers.
Investigação da Microsoft
Depois de categorizar o grupo de atores de ameaças, a Microsoft iniciou um inquérito sobre os métodos empregados pelos agentes da ameaça para obter a chave de assinatura do consumidor da conta da Microsoft e como ela foi utilizada para obter acesso aos sistemas de e-mail corporativos.
Em sua investigação, a empresa determinou uma falha no sistema de assinatura do consumidor em abril de 2021, o que levou à criação de um instantâneo do processo travado.
No momento da ocorrência, não era do conhecimento da Microsoft que o despejo de memória continha o material chave mencionado acima.
Em seguida, descobriu-se que o crash dump foi movido para o ambiente de depuração na rede corporativa conectada à Internet, acreditando que a chave não estava incluída.
A Microsoft acredita que a chave vazou do crash dump no ambiente corporativo ao comprometer com sucesso a conta corporativa de um engenheiro da Microsoft.
“Devido às políticas de retenção de logs, não temos logs com evidências específicas dessa exfiltração por esse ator, mas esse foi o mecanismo mais provável pelo qual o ator adquiriu a chave.”
A Microsoft informou que os problemas mencionados acima foram resolvidos e uma tecnologia aprimorada de verificação de credenciais foi implementada para identificar a existência da chave de assinatura com mais precisão.
A Embaixada da China, situada em Washington, DC, não respondeu ao email enviado. O governo da China rejeitou a acusação de roubo de e-mails pertencentes a altos funcionários nos Estados Unidos como “infundada”.
As organizações devem tomar medidas proativas para garantir a segurança das suas contas e dados, especialmente à luz de tais ameaças.
