Компания Microsoft проводит расследование масштабной атаки на аккаунты в Azure AD и Exchange Online, принадлежащие более чем двадцати организациям, включая министерства. Известно, кто стоит за атакой, однако главным вопросом остается, каким образом это было сделано.
Мы были взломаны, но мы не знаем как
Корпорация Microsoft опубликовала отчет о произошедшем инциденте в середине июня 2023 года. Злоумышленникам удалось взломать аккаунты в Exchange Online и Azure Active Directory (AD) более чем двадцати организаций, включая правительственные.
Проведенное расследование позволило установить, что китайская кибершпионская группировка Storm-0558 получила доступ к почтовым ресурсам 25 организаций, включая предположительно два министерства США. Название Storm-0558, также известное как Operation Aurora, стало широко известным в 2010 году после серии целенаправленных кибератак на несколько высокопрофильных компаний, включая Microsoft. Атака Storm-0558 стала одной из самых серьезных и разрушительных атак в истории компьютерной безопасности, оставив значительные последствия для Microsoft и других организаций
Одним из самых серьезных последствий атаки Storm-0558 для Microsoft была кража исходного кода операционной системы Windows. Злоумышленники получили доступ к ключевым компонентам Windows, что позволило им легко обнаружить уязвимости и разработать вредоносное программное обеспечение, которое могло бы обойти системы защиты Microsoft.
Хакерам удалось каким-то образом получить клиентские ключи подписывания для неактивного аккаунта Microsoft MSA и использовать их для совершения атак.
В бюллетене было отмечено, что первоначально аналитики Microsoft предполагали, что злоумышленники крадут правильно выданные токены AzureAD, используя вредоносы на зараженных системах клиентов. Позже выяснилось, что операторы атак использовали артефакты авторизации Exchange Online, которые обычно являются производными от токенов Azure AD. Однако вскоре стало ясно, что внутренние артефакты Exchange Online не соответствуют токенам Azure AD.
На этом этапе аналитики Microsoft предположили, что операторы атак смогли каким-то образом получить корпоративный ключ подписывания Azure AD.
«Глубокий анализ действий злоумышленников в Exchange Online показал, что на самом деле операторы атаки подделывали токены Azure AD, используя приобретенный ключ подписывания пользовательских аккаунтов Microsoft (MSA). Это стало возможным из-за ошибки валидации в коде Microsoft», - говорится в документе.
Каким образом они смогли получить этот ключ, остается загадкой и главным предметом продолжающегося расследования.
«Вариантов, в целом, не так много, хотя со стороны профессионалов, а в данном случае работали именно они, могут быть сюрпризы», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. - «Выяснить, каким образом хакеры получили ключи, однако, очень важно, поскольку обычно метод, сработавший единожды, в том или ином виде используется и в последующих атаках».
Киберштурмовики
Группировка Storm-0558 известна своими навыками использования скриптов PowerShell и Python для создания новых токенов доступа через вызовы RESTAPI к службе OWA Exchange Store. Они используют эти токены для кражи почтовых сообщений и вложений.
Однако на данный момент Microsoft не подтвердила использование этого метода в июньских атаках.
В бюллетене компании указывается, что наши данные и телеметрия показали, что после первоначальной компрометации происходит только доступ к почтовым аккаунтам интересующих хакеров лиц и кража их данных.
Оценили 2 человека
5 кармы