Dopo aver individuato la campagna di phishing avviata da cybercriminali russi, Microsoft ha dovuto anche fronteggiare un attacco effettuato da cybercriminali cinesi. Il gruppo Storm-0558 ha sfruttato una vulnerabilità del servizio cloud per accedere agli account email di alcune agenzie governative che usano Outlook. Lo scopo è ovviamente rubare informazioni riservate (cyberspionaggio).

Microsoft blocca gli spioni cinesi

I principali target del gruppo Storm-0558 sono le agenzie governative occidentali. Le attività più frequenti sono furto di credenziali, spionaggio e furto di dati. In seguito alle segnalazioni ricevute dai clienti a metà giugno, Microsoft ha avviato un’indagine scoprendo che i cybercriminali avevano ottenuto accesso agli account email da circa un mese (metà maggio).

Il gruppo Storm-0558 ha usato una chiave MSA (Microsoft Account) per ottenere token di autenticazione che consentono l’accesso ad Outlook.com e Outlook Web Access in Exchange Online. Le chiavi MSA, come quelle di Azure Active Directory (AD) sono emesse e gestite da sistemi separati e dovrebbero essere valide solo per i rispettivi sistemi. Ma i cybercriminali hanno sfruttato un problema nella validazione dei token per impersonare gli utenti Azure AD e accedere alle email enterprise.

Dopo aver individuato la campagna di phishing avviata da cybercriminali russi, Microsoft ha dovuto anche fronteggiare un attacco effettuato da cybercriminali cinesi. Il gruppo Storm-0558 ha sfruttato una vulnerabilità del servizio cloud per accedere agli account email di alcune agenzie governative che usano Outlook. Lo scopo è ovviamente rubare informazioni riservate (cyberspionaggio).

Microsoft blocca gli spioni cinesi

I principali target del gruppo Storm-0558 sono le agenzie governative occidentali. Le attività più frequenti sono furto di credenziali, spionaggio e furto di dati. In seguito alle segnalazioni ricevute dai clienti a metà giugno, Microsoft ha avviato un’indagine scoprendo che i cybercriminali avevano ottenuto accesso agli account email da circa un mese (metà maggio).

Il gruppo Storm-0558 ha usato una chiave MSA (Microsoft Account) per ottenere token di autenticazione che consentono l’accesso ad Outlook.com e Outlook Web Access in Exchange Online. Le chiavi MSA, come quelle di Azure Active Directory (AD) sono emesse e gestite da sistemi separati e dovrebbero essere valide solo per i rispettivi sistemi. Ma i cybercriminali hanno sfruttato un problema nella validazione dei token per impersonare gli utenti Azure AD e accedere alle email enterprise.

Microsoft ha contattato tutte le organizzazioni interessate (circa 25) per fornire le informazioni necessarie. L’azienda di Redmond ha inoltre implementato diverse misure di sicurezza, tra cui il blocco dei token firmati con la chiave MSA e la sostituzione della chiave per impedire la generazione di altri token. Non è richiesta nessuna azione da parte dei clienti.