Абонирайте се за нюзлетъра на "Булевард България", за да получавате селекция с най-интересните теми на седмицата през погледа на нашия екип:
Китайски хакери са се възползвали от недостатък в услугата за електронна поща в облака на Microsoft, за да получат достъп до имейл акаунтите на служители на правителствени агенции в Западна Европа и САЩ, съобщи технологичният гигант. Компанията не каза кои са засегнатите организации.
В публикация в блога си американският гигант уточнява, че групировка, наречена Storm-0558, в средата на май тази година е успяла да получи достъп до имейл данните на около 25 организации, като е останала незабелязана в продължение на един месец. Софтуерната компания е открила пробива едва в средата на юни, когато е извършила проверка след сигнал от клиент за необичайна активност на пощата.
Разследването на Microsoft установи, че хакерската група Storm-0558, която описва като „добре обезпечен“ противник, е получила достъп до имейл акаунти, използвайки Outlook Web Access в Exchange Online (OWA) и Outlook.com, като е фалшифицирала удостоверителни токени за достъп до потребителски акаунти. В техническия си анализ на атаката гигантът обяснява, че хакерите са използвали придобит от Microsoft ключ за подписване на потребители, за да фалшифицират токени за достъп до OWA и Outlook.com. След това са използвали проблем с валидирането, за да се представят за потребители на Azure AD и да получат достъп до имейл акаунти на предприятието.
„Ние оценяваме, че този противник е фокусиран върху шпионаж, като например получаване на достъп до имейл системи за събиране на разузнавателна информация“, каза Чарли Бел, изпълнителен вицепрезидент по сигурността на Microsoft.
Той добави, че Storm-0558 е извършил атаката, като е подправил токените за удостоверяване, необходими за достъп до потребителските имейл акаунти.
Microsoft е спряла атаката и е уведомила засегнатите клиенти.
Разкритието е поредният случай на атака от базирани в Китай киберпрестъпници. През май Microsoft заяви, че спонсорирана от китайската държава хакерска група, известна като Volt Typhoon, е получила достъп до организации в Гуам и на други места в САЩ, като вероятната цел е била да се нарушат критичните комуникации.
