Microsoft ещё не выяснила, как хакеры украли ключ MSA во время атаки на Exchange

Microsoft ещё не выяснила, как хакеры украли ключ MSA во время атаки на Exchange

Изображение: Turag Photography (unsplash)

Корпорация Microsoft убеждена, что взлом Exchange Online весной 2023 года был связан с хакерской группировкой из Китая Storm-0558, членам которой удалось украсть ключ подписи Azure с ноутбука инженера. При этом эксперты по кибербезопасности американской компании ещё не выяснили, как именно злоумышленникам удалось украсть этот ключ MSA, сообщает издание Bleeping Computer.

По словам профильных американских компаний по информационной безопасности, Storm-0558 — это связанная с Китаем организация, занимающаяся кибершпионажем, которая уже более двух десятилетий действует против широкого круга западных организаций.

Теперь же американские журналисты сообщают, что спустя почти 10 месяцев после того, как Microsoft начала расследование, Министерство внутренней безопасности США заявляет, что нет никаких окончательных доказательств относительно того, как именно хакеры получили ключ подписи, независимо от того, что ранее утверждала Microsoft.

Министерство внутренней безопасности США провело анализ взлома Microsoft Exchange Online в 2023 году на основе информации, полученной от пострадавших организаций, компаний и экспертов в области кибербезопасности, правоохранительных органов, а также встреч с представителями Microsoft. В опубликованном ведомстве отчёте отмечается, что корпорация Microsoft узнала о кибератаке только после предупреждения Госдепартамента США 16 июня 2023 года. Признаки взлома почтовых систем Госдепартамента появились днём ранее, когда Центр управления безопасностью (SOC) организации обнаружил аномальный доступ.

Начиная с середины мая 2023 года, учётные записи электронной почты более 500 человек в 22 организациях были скомпрометированы в ходе кампании кибершпионажа китайской хакерской группы Storm-0558.

Хакеры получили доступ к учётным записям электронной почты, используя поддельные токены аутентификации, подписанные потребительским ключом учётной записи Microsoft Services (MSA), который компания создала в 2016 году и который должен был быть отозван в марте 2021 года.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: