مایکروسافت می گوید هکرهای چینی به حساب های ایمیل دولت آمریکا دسترسی پیدا کرده اند

این شرکت فاش کرده است که یک عامل تهدید چینی توانسته به بیش از دوجین حساب ایمیل مایکروسافت متعلق به سازمان های مختلف در غرب دسترسی پیدا کند.

مایکروسافت جزئیات را در مشاوره ای که در وب سایت این شرکت منتشر شد توضیح داد و اشاره کرد که عامل تهدیدی را که به عنوان Storm-0558 دنبال می کند که سازمان های دولتی در اروپای غربی را هدف قرار می دهد، پس از اطلاع از مشتریان در اواسط ژوئن شناسایی کرده است.

تحقیقات عمیق تر نشان داد که Storm-0558 کمپین خود را در اواسط ماه مه امسال آغاز کرد و به حساب های ایمیل تقریباً 25 سازمان از جمله شرکت های دولتی دسترسی پیدا کرد.

جعل توکن های احراز هویت

این شرکت تأیید کرد که این حمله با استفاده از توکن‌های احراز هویت فراموشی انجام شده است که به عوامل تهدید اجازه می‌دهد با استفاده از کلید امضای مشتری حساب کاربری مایکروسافت به ایمیل‌ها دسترسی داشته باشند.

مایکروسافت توضیح داد: «تحقیقات مایکروسافت نشان داد که Storm-0558 با استفاده از Outlook Web Access در Exchange Online (OWA) و Outlook.com با جعل توکن‌های احراز هویت برای دسترسی به ایمیل کاربر، به حساب‌های ایمیل مشتریان دسترسی پیدا کرده است.

این بازیگر از یک کلید MSA برای جعل توکن برای دسترسی به OWA و Outlook.com استفاده کرد. کلیدهای MSA (مصرف کننده) و کلیدهای Azure AD (تجاری) از سیستم های جداگانه صادر و مدیریت می شوند و فقط باید برای سیستم های مربوطه معتبر باشند. این بازیگر از یک مشکل اعتبارسنجی رمزی برای جعل هویت کاربران Azure AD و دسترسی به نامه‌های سازمانی استفاده کرد. ما هیچ نشانه ای مبنی بر استفاده از کلیدهای Azure AD یا هر کلید MSA دیگری توسط این بازیگر نداریم. OWA و Outlook.com تنها سرویس‌هایی هستند که در آن بازیگر را با استفاده از توکن‌های جعلی با کلید MSA مشاهده کرده‌ایم.

تله متری مایکروسافت پس از فعالیت نشان می دهد که این حمله با موفقیت کاهش یافته است و Storm-0558 دیگر به این حساب ها دسترسی ندارد. با این حال، این شرکت در مورد آسیبی که در یک ماه زمانی که مهاجمان دسترسی داشتند، صحبت نکرد.

چیزی که تایید کرد این است که این گروه معمولاً بر جاسوسی، سرقت اطلاعات و دسترسی به اعتبار، علیه نهادها در اروپای غربی متمرکز است.

مایکروسافت افزود، زیرا به روز رسانی از طرف شرکت انجام شده است، هیچ کاری برای مشتریان بالقوه تحت تأثیر برای حفظ امنیت وجود ندارد. غول نرم‌افزاری ردموند گفت که مستقیماً با شرکت‌های هدف تماس گرفته و اطلاعات مهم مورد نیاز برای کاهش و واکنش را در اختیار آنها قرار داده است.

مایکروسافت در پایان گفت: “اگر با شما تماس گرفته نشده است، بررسی های ما نشان می دهد که شما تحت تاثیر قرار نگرفته اید.”