Группировка Storm-0558 взломала почтовые ящики более двух десятков организаций по всему миру, включая правительственные учреждения в США и странах Западной Европы. Хакеры получили доступ к чужим учетным записям электронной почты с помощью Outlook Web Access в Exchange Online (OWA) и Outlook.com, подделав токены аутентификации.
В Microsoft рассказывают, что компания начала расследование этих атак 16 июня 2023 года, получив сообщения о необычной почтовой активности от ряда клиентов.
Обнаружилось, что с 15 мая 2023 года злоумышленникам удалось получить доступ к учетным записям Outlook, принадлежащим примерно 25 организациям, а также к некоторым учетным записям пользователей, которые, вероятно, были связаны с этими организациями. Названия пострадавших организаций и госучреждений не раскрываются.
Исследователи рассказывают, что для этой атаки злоумышленники использовали токены аутентификации, подделанные с помощью украденного ключа MSA (Microsoft account consumer signing key).
«В ходе расследования Microsoft было установлено, что Storm-0558 получила доступ к учетным записям электронной почты клиентов с помощью Outlook Web Access в Exchange Online (OWA) и Outlook.com, подделав токены аутентификации для доступа к почте, — сообщает Microsoft. — Злоумышленники использовали полученный ими ключ MSA для подделки токенов для доступа к OWA и Outlook.com. Ключи MSA (потребительские) и ключи Azure AD (корпоративные) выпускаются и управляются из разных систем и должны быть действительны только для соответствующих систем. Злоумышленники использовали проблему с проверкой валидации токенов, чтобы выдать себя за пользователей Azure AD и получить доступ к корпоративной почте. Мы не обнаружили признаков того, что эта группировка использовала ключи Azure AD или любые другие ключи MSA».
Сообщается, что компания уже приняла меры для устранения проблемы, в том числе заблокировала использование токенов, подписанных скомпрометированным ключом, и заменила сам ключ. Все пострадавшие клиенты получили уведомления о случившемся, а также «информацию, необходимую для реагирования на инцидент».
Как сообщает CNN, об этой проблеме Microsoft предупредили официальные лица правительства США, которые обнаружили несанкционированный доступ к облачным почтовым службам Microsoft. По словам представителя Совета национальной безопасности Белого дома Адама Ходжа, атаки затронули только «несекретные системы», но расследование того, какие данные были украдены, все еще продолжается.
Источник: xakep
