A Microsoft anunciou que conseguiu mitigar um ataque cibernético de um agente de ameaças chinês, rastreado como Storm-0558, que visava e-mails de clientes. O Storm-0558 concentram-se em agências governamentais na Europa Ocidental e foram observados conduzindo ciberespionagem, roubo de dados e ataques de acesso a credenciais.
O ataque foi relatado por um cliente em 16 de junho de 2023. A investigação revelou que o ataque começou em 15 de maio de 2023, quando Storm-0558 obteve acesso a contas de e-mail afetando aproximadamente 25 organizações, incluindo agências governamentais, bem como contas de consumidores relacionadas de indivíduos provavelmente associados a essas organizações.
Ataque do Storm-0558 mitigado pela Microsoft
De acordo com as informações, os invasores falsificaram tokens de autenticação para acessar o e-mail do usuário usando uma chave de assinatura do consumidor adquirida da conta da Microsoft (MSA).
Nossa telemetria indica que bloqueamos com sucesso o Storm-0558 de acessar o e-mail do cliente usando tokens de autenticação forjados. Nenhuma ação do cliente é necessária.
Como em qualquer atividade observada de ator de estado-nação, a Microsoft contatou todas as organizações visadas ou comprometidas diretamente por meio de seus administradores de locatários e forneceu informações importantes para ajudá-los a investigar e responder.
Os ataques
Os pesquisadores da Microsoft descobriram que os agentes de ameaças obtiveram acesso às contas de e-mail do cliente usando o Outlook Web Access no Exchange Online (OWA) e o Outlook.com forjando tokens de autenticação para acessar o e-mail do usuário.
Os invasores usaram uma chave MSA adquirida para forjar os tokens para acessar o OWA e o Outlook.com. Os invasores exploraram um problema de validação de token para representar os usuários do Azure AD e obter acesso ao correio corporativo
A Microsoft acrescentou que não está ciente de nenhum abuso das chaves do Azure AD ou de qualquer outra chave MSA por esse agente de ameaça. Isso deixa os usuários um pouco mais tranquilos, mas também alertas. Afinal, não dá para não ficar alerta quando o assunto são os ataques cibernéticos. Diariamente agentes de ameças estão buscando meios de comprometer os mais diversos sistemas e, precisamos estar preparados para isso.
Quanto ao ataque do agente chinês, Charlie Bell, vice-presidente executivo de segurança da Microsoft, disse:
Avaliamos que esse adversário está focado em espionagem, como obter acesso a sistemas de e-mail para coleta de informações. Esse tipo de adversário motivado por espionagem procura abusar de credenciais e obter acesso a dados que residem em sistemas confidenciais.