هکرهای چینی با سوء استفاده از باگ ابری مایکروسافت به حساب های ایمیل دولت آمریکا حمله کردند

غول فناوری تایید کرده است که هکرهای چینی از نقص سرویس ایمیل ابری مایکروسافت برای دسترسی به حساب های ایمیل کارمندان دولت آمریکا سوء استفاده کردند.

به گفته مایکروسافت، این گروه هکری که با نام Storm-0558 دنبال می‌شود، تقریباً 25 حساب ایمیل از جمله سازمان‌های دولتی و همچنین حساب‌های مصرف‌کننده مرتبط مرتبط با افراد مرتبط با این سازمان‌ها را در معرض خطر قرار داده است. “طوفان” نام مستعاری است که توسط مایکروسافت برای ردیابی گروه های هک جدید، در حال ظهور یا “در حال توسعه” استفاده می شود.

مایکروسافت سازمان های دولتی مورد هدف Storm-0558 را شناسایی نکرده است. با این حال، آدام هاج، سخنگوی شورای امنیت ملی کاخ سفید، به TechCrunch تایید کرد که سازمان های دولتی ایالات متحده تحت تاثیر قرار گرفته اند.

هاج در بیانیه‌ای به TechCrunch گفت: «ماه گذشته، پادمان‌های دولت ایالات متحده نفوذی را در امنیت ابری مایکروسافت شناسایی کردند که بر سیستم‌های طبقه‌بندی نشده تأثیر گذاشت. «مقامات بلافاصله با مایکروسافت تماس گرفتند تا منبع و آسیب پذیری را در سرویس ابری خود بیابند. ما همچنان تامین کنندگان تدارکات دولت ایالات متحده را در آستانه امنیتی بالا نگه می داریم.

تحقیقات مایکروسافت نشان داد که Storm-0558، یک گروه هکر مستقر در چین که این شرکت به عنوان یک دشمن «دارای منابع خوب» توصیف می‌کند، با جعل توکن‌های احراز هویت با استفاده از Outlook Web Access در Exchange Online (OWA) و Outlook.com به حساب‌های ایمیل دسترسی پیدا کرده است. برای دسترسی به حساب های کاربری مایکروسافت در تجزیه و تحلیل فنی خود از این حمله توضیح داد که هکرها از یک کلید امضای مشتری مایکروسافت برای جعل توکن برای دسترسی به OWA و Outlook.com استفاده کردند. سپس، هکرها از یک مشکل اعتبار سنجی توکن برای جعل هویت کاربران Azure AD و دسترسی به حساب‌های ایمیل سازمانی سوء استفاده کردند.

مایکروسافت گفت که فعالیت مخرب Storm-0885 برای حدود یک ماه کشف نشده بود تا اینکه مشتریان به مایکروسافت در مورد فعالیت غیرعادی ایمیل هشدار دادند.

ما ارزیابی می کنیم که این دشمن بر روی جاسوسی متمرکز شده است، مانند دسترسی به سیستم های ایمیل برای جمع آوری اطلاعات. چارلی بل، مدیر ارشد امنیت سایبری مایکروسافت، گفت: این نوع دشمن با انگیزه جاسوسی به دنبال سوء استفاده از اعتبار و دسترسی به داده های موجود در سیستم های حساس است.

مایکروسافت گفت که این حمله با موفقیت کاهش یافت و Storm-0558 دیگر به حساب‌های در معرض خطر دسترسی ندارد. با این حال، این شرکت نگفته است که آیا اطلاعات حساسی در طول مدت یک ماهه که مهاجمان به آن دسترسی داشتند، استخراج شده است یا خیر.