Cibercriminosos chineses roubaram cerca de 60 mil e-mails do Departamento Estadual dos EUA após violação da Microsoft

Imagem de hacker

Cibercriminosos ligados à China roubaram cerca de 60.000 e-mails do Departamento de Estado dos EUA após violarem a plataforma de e-mail Exchange da Microsoft em maio. A informação vem de um funcionário do Senado ao Reuters esta semana.

Durante uma reunião com funcionários de TI do Departamento de Estado dos EUA, as autoridades disseram aos legisladores que os agentes de ameaças roubaram pelo menos 60.000 e-mails de um total de 10 contas do Departamento de Estado. As contas pertencem a funcionários do Departamento de Estado que trabalhavam no Leste Asiático, no Pacífico e na Europa.

“Os indivíduos do Departamento de Estado cujas contas foram comprometidas concentraram-se principalmente nos esforços diplomáticos do Indo-Pacífico, e os hackers também obtiveram uma lista contendo todos os e-mails do departamento, de acordo com o briefing de quarta-feira.” relatou a Reuters .

Segundo as autoridades, nenhum dos e-mails roubados foi confidencial

“Foram aproximadamente 60.000 e-mails não confidenciais que foram exfiltrados como parte dessa violação. Não, os sistemas confidenciais não foram hackeados. Estes estão relacionados apenas ao sistema não classificado”, disse o porta-voz do Departamento de Estado, Matthew Miller, aos repórteres.

Não fizemos uma atribuição neste momento, mas, como disse antes, não temos motivos para duvidar da atribuição que a Microsoft fez publicamente. Novamente, este foi um hack dos sistemas da Microsoft que o Departamento de Estado descobriu e notificou a Microsoft.

Em julho, a Microsoft anunciou que mitigou um ataque conduzido por um agente de ameaças ligado à China, rastreado como Storm-0558, que tinha como alvo e-mails de clientes. Os atores da ameaça Storm-0558 concentram-se em agências governamentais na Europa Ocidental e foram observados conduzindo espionagem cibernética, roubo de dados e ataques de acesso a credenciais. O ataque foi relatado por um cliente em 16 de junho de 2023.

A investigação revelou que o ataque começou em 15 de maio de 2023, quando Storm-0558 obteve acesso a contas de e-mail que afetavam aproximadamente 25 organizações, incluindo agências governamentais, bem como contas de consumidores relacionadas de indivíduos provavelmente associados a essas organizações. Os invasores falsificaram tokens de autenticação para acessar o e-mail do usuário usando uma chave de assinatura de consumidor de conta Microsoft (MSA) adquirida.

Os pesquisadores da Microsoft descobriram que os agentes da ameaça obtiveram acesso às contas de e-mail dos clientes usando o Outlook Web Access no Exchange Online (OWA) e o Outlook.com forjando tokens de autenticação para acessar o e-mail do usuário.

Os invasores usaram uma chave MSA adquirida para falsificar os tokens de acesso ao OWA e ao Outlook.com. Os invasores exploraram um problema de validação de token para se passar por usuários do Azure AD e obter acesso ao correio corporativo.

No início de setembro, a Microsoft compartilhou uma investigação técnica abrangente sobre como os invasores obtiveram acesso à chave de assinatura do consumidor da conta da Microsoft.

A empresa descobriu que os agentes da ameaça roubaram uma chave de assinatura usada para violar contas de e-mail do governo de um despejo de memória do Windows após comprometer a conta corporativa de um engenheiro da Microsoft. A Microsoft descobriu que a chave MSA vazou acidentalmente em um despejo de memória depois que um sistema de assinatura do consumidor travou em abril de 2021.

Acesse a versão completa
Sair da versão mobile