• РЕГИСТРАЦИЯ

Microsoft не могут понять, каким образом китайские хакеры смогли взломать Exchange Online и Azure AD

1 505

Компания Microsoft проводит расследование масштабной атаки на аккаунты в Azure AD и Exchange Online, принадлежащие более чем двадцати организациям, включая министерства. Известно, кто стоит за атакой, однако главным вопросом остается, каким образом это было сделано.

Мы были взломаны, но мы не знаем как

Корпорация Microsoft опубликовала отчет о произошедшем инциденте в середине июня 2023 года. Злоумышленникам удалось взломать аккаунты в Exchange Online и Azure Active Directory (AD) более чем двадцати организаций, включая правительственные.

Проведенное расследование позволило установить, что китайская кибершпионская группировка Storm-0558 получила доступ к почтовым ресурсам 25 организаций, включая предположительно два министерства США. Название Storm-0558, также известное как Operation Aurora, стало широко известным в 2010 году после серии целенаправленных кибератак на несколько высокопрофильных компаний, включая Microsoft. Атака Storm-0558 стала одной из самых серьезных и разрушительных атак в истории компьютерной безопасности, оставив значительные последствия для Microsoft и других организаций

Одним из самых серьезных последствий атаки Storm-0558 для Microsoft была кража исходного кода операционной системы Windows. Злоумышленники получили доступ к ключевым компонентам Windows, что позволило им легко обнаружить уязвимости и разработать вредоносное программное обеспечение, которое могло бы обойти системы защиты Microsoft.

Хакерам удалось каким-то образом получить клиентские ключи подписывания для неактивного аккаунта Microsoft MSA и использовать их для совершения атак.

В бюллетене было отмечено, что первоначально аналитики Microsoft предполагали, что злоумышленники крадут правильно выданные токены AzureAD, используя вредоносы на зараженных системах клиентов. Позже выяснилось, что операторы атак использовали артефакты авторизации Exchange Online, которые обычно являются производными от токенов Azure AD. Однако вскоре стало ясно, что внутренние артефакты Exchange Online не соответствуют токенам Azure AD.

На этом этапе аналитики Microsoft предположили, что операторы атак смогли каким-то образом получить корпоративный ключ подписывания Azure AD.

«Глубокий анализ действий злоумышленников в Exchange Online показал, что на самом деле операторы атаки подделывали токены Azure AD, используя приобретенный ключ подписывания пользовательских аккаунтов Microsoft (MSA). Это стало возможным из-за ошибки валидации в коде Microsoft», - говорится в документе.

Каким образом они смогли получить этот ключ, остается загадкой и главным предметом продолжающегося расследования.

«Вариантов, в целом, не так много, хотя со стороны профессионалов, а в данном случае работали именно они, могут быть сюрпризы», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. - «Выяснить, каким образом хакеры получили ключи, однако, очень важно, поскольку обычно метод, сработавший единожды, в том или ином виде используется и в последующих атаках».

Киберштурмовики

Группировка Storm-0558 известна своими навыками использования скриптов PowerShell и Python для создания новых токенов доступа через вызовы RESTAPI к службе OWA Exchange Store. Они используют эти токены для кражи почтовых сообщений и вложений.

Однако на данный момент Microsoft не подтвердила использование этого метода в июньских атаках.

В бюллетене компании указывается, что наши данные и телеметрия показали, что после первоначальной компрометации происходит только доступ к почтовым аккаунтам интересующих хакеров лиц и кража их данных.

    Реакция на пуск "Орешника"
    • pretty
    • Вчера 07:00
    • В топе

    Австрийский журналист Крис Вебер: Россия запускает неядерную межконтинентальную баллистическую ракету в качестве предупреждения о недопустимости дальнейшей эскалации.Фракция поджигателей войны го...

    Двести Хиросим

    Новая вундерваффе прилетела в завод Южмаш. Это шесть раздельных блоков по шесть боеголовок в каждом - хотя, поговаривают, их может быть и 8х8, что зависит от конфигурации и задач. Пока ...

    Ваш комментарий сохранен и будет опубликован сразу после вашей авторизации.

    0 новых комментариев

      Иван Семин 11 октября 2023 г. 21:39

      Мошенники и спамеры блокируются за минуты

      Новая система блокировки телефонных номеров, с которых поступают нежелательные звонки, была внедрена в России. Теперь оператор МТС предлагает своим абонентам отправлять жалобы на спамеров и мошенников через мобильное приложение. Обработка жалобы занимает всего несколько минут, что значительно сократило время реагирования на нежелательные звонки. Ранее дл...
      1066
      Иван Семин 9 октября 2023 г. 22:54

      Абонентская плата за Windows

      Microsoft рассматривает возможность перейти к модели подписки для распространения Windows 12, чтобы обеспечить регулярный доход от каждого пользователя. В настоящее время пользователи могут приобрести лицензию на Windows 11 как вместе с компьютером, так и отдельно.По информации портала Neowin, новая операционная система Windows 12, предварительно названная так, скорее...
      1172
      Иван Семин 24 сентября 2023 г. 13:04

      Создатель Windows 11 ушел из компании

      Информация о неожиданном уходе вице-президента Microsoft, который руководил подразделением, ответственным за создание ОС Windows 11, стала известна. Панос Панай, решивший продолжить свою карьеру в Amazon, покинул компанию, где проработал 19 лет, из-за отмены некоторых его проектов и сокращения финансирования подразделения в пользу разработок в области искусственного и...
      1098
      Иван Семин 20 сентября 2023 г. 01:41

      Бесплатный "Photoshop" в Windows

      В Paint появились новые функции, которые делают его еще более уникальным. Теперь он поддерживает слои и прозрачность, что ранее было доступно только в дорогих редакторах, например, в Photoshop. Microsoft продолжает развивать Paint, превращая его в полноценный фоторедактор, но не раскрывает свои намерения. Одно из преимуществ Paint - его бесплатная доступность.Бесплатн...
      805
      Иван Семин 13 сентября 2023 г. 01:18

      Сбер переходит на китайские банкоматы

      Сбербанк планирует распространить китайские банкоматы по всей России, и уже есть потенциальный поставщик. Этот процесс начнется в 2024 году. Хотя банк проявлял интерес к отказу от иностранных устройств, он пока не переходит на российские банкоматы. Он разработал свою операционную систему для банкоматов и создал новый отечественный банкомат. Однако количество банкомато...
      235
      Иван Семин 4 сентября 2023 г. 23:47

      Прощай родной Wordpad

      В последнем обновлении операционной системы Windows 11 компания Microsoft приняла решение удалить одно из самых известных и долгоживущих приложений - Wordpad. Это вызвало некоторое недовольство у пользователей, которые привыкли использовать этот текстовый редактор для простых задач.В следующей версии Windows 12, которая ожидается в 2024 году, этого текстового редактор...
      1074
      Иван Семин 30 августа 2023 г. 23:32

      Microsoft пришлось прогнуться

      В последнее время Microsoft получила значительное количество жалоб от пользователей из-за агрессивной политики продвижения своего поискового движка Bing. Одной из основных причин недовольства стало появление назойливых всплывающих окон, которые регулярно появляются при использовании различных продуктов и сервисов компании.Операционные системы Windows 10 и 11 начали по...
      400
      Иван Семин 28 августа 2023 г. 22:59

      Microsoft наконец-то меняет раздражающее поведение Windows 11, но есть одна загвоздка

      В Windows 11 есть изменения в тестировании, которые порадуют всех, кому надоело, что Edge появляется при открытии определенных ссылок в ОС, несмотря на то, что он не является браузером по умолчанию — но, к сожалению, есть одна загвоздка.Вы наверняка знакомы со сценарием, когда вы открываете ссылку через системный компонент Windows — то есть где-то в меню Windows 11, н...
      473
      Иван Семин 27 августа 2023 г. 13:29

      Wifi 7 может быть только в Windows 11 и выше

      Утечка документа Intel, по-видимому, подтвердила, что пользователи Windows 10 и более старых операционных систем не смогут пользоваться Wi-Fi 7 , когда он выйдет в следующем году. В документах Intel, опубликованных инсайдером под ником chi11eddog, содержится информация о новом поколении стандарта беспроводной связи — Wi-Fi 7.В мире постоянно происходят изменения и раз...
      228
      Иван Семин 26 августа 2023 г. 02:45

      Новый синий экран или ваш процессор не поддерживается

      Новый BSoD: проблемы с операционной системой WindowsПользователи операционных систем Windows столкнулись с появлением новой версии «синего экрана смерти» (BSoD), который сопровождается сообщением о неподдерживаемом процессоре ОС ("UNSUPPORTED_PROCESSOR").Синий экран смерти (BSoD) - это одна из самых неприятных проблем, с которыми сталкиваются пользователи компьютеров....
      2159
      Иван Семин 24 августа 2023 г. 01:51

      Microsoft решила сделать полноценный архиватор

      В течение многих лет операционные системы Windows поддерживали только распаковку zip-архивов, в то время как для работы с остальными форматами требовались отдельные приложения. Однако, в свежей бета-версии Windows 11, Microsoft наконец-то решила эту проблему, добавив нативную поддержку нескольких популярных форматов, включая известный RAR.Данное нововведение было внед...
      326
      Иван Семин 20 августа 2023 г. 15:55

      МТС лучше стал блокировать спам

      За первое полугодие 2023 года ПАО "МТС", цифровая экосистема, увеличила количество блокировок спам-звонков на 28%. С помощью антиспамовых решений и сервиса "Защитник", использующего анализ Big Data, МТС заблокировала более одного миллиарда нежелательных вызовов, что в 2,15 раза больше, чем за аналогичный период прошлого года. Об этом сообщили представители компании.Фр...
      185
      Иван Семин 19 августа 2023 г. 02:38

      Microsoft позволит удалять предустановленный хлам в Windows 11

      Новое обновление Windows 11 добавило возможность удаления предустановленных мини-программ, которыми мало кто пользуется. Это включает «Люди», «Фото», «Удаленный рабочий стол» и другие, всего несколько десятков. Даже полезные программы, например, «Блокнот», который быстро очищает текст от форматирования, теперь можно удалить. Однако браузер Edge остается неизменным, Mi...
      457
      Иван Семин 16 августа 2023 г. 16:06

      Обновление Microsoft Defender стало блокировать AutoKMS

      Говоря о безопасности, компания также выпустила обновление для Microsoft Defender для операционных систем Windows 11, Windows 10 и серверов. Это обновление было выпущено для исправления проблемы с уязвимостью в Microsoft Defender, которая может сделать систему уязвимой в первые часы после установки операционной системы. Это связано с тем, что установочные образы опера...
      218
      Иван Семин 11 августа 2023 г. 01:31

      Microsoft не продлит лицензии

      После 30 сентября 2023 года Microsoft прекратит продление лицензий на свое программное обеспечение для российских компаний. Это решение означает, что бизнес-организации лишатся доступа к обновлениям безопасности, что повысит их уязвимость перед потенциальными хакерскими атаками. В свете этого, многие компании могут обратить внимание на использование пиратских версий W...
      392
      Иван Семин 6 августа 2023 г. 18:34

      Система блокировки с мошеннических звонков на государственном уровне

      ВТБ и Минцифра создали автоматизированную систему, которая блокирует мошеннические звонки и фишинговые ссылки. Благодаря автоматизации процесса, блокировка мошенников стала в три раза быстрее, а количество атак сократилось в два раза.Система работает следующим образом: ВТБ совместно с Минцифрой разработали автоматизированный сервис для сбора информации о мошеннических...
      811
      Иван Семин 5 августа 2023 г. 00:32

      Прощай Cortana

      Microsoft решила заменить непопулярного голосового помощника Cortana на новый ассистент под названием Windows Copilot. Официальное объявление о прекращении поддержки Cortana было сделано компанией, и это «обновление-убийца» стало последней каплей для виртуального ассистента, который не смог завоевать популярность за все свое существование.Windows Copilot будет использ...
      308
      Иван Семин 3 августа 2023 г. 12:01

      Microsoft сломало выключатель компьютеров на Windows 11

      Функция отключения компьютера после установки обновлений в Windows 11 перестала работать. Вместо этого компьютер просто перезагружается, что может привести к разрядке аккумулятора ноутбука. Microsoft не реагирует на множество жалоб пользователей и не исправляет эту проблему.Пользователи Windows 11 столкнулись с проблемой, которая не позволяет им отключить компьютер по...
      250
      Иван Семин 1 августа 2023 г. 13:45

      Lenovo работает над игровым портативным компьютером с Windows 11 под названием Legion Go

      Согласно нашим источникам, Lenovo готовится выйти на рынок портативных игровых ПК. Подобно таким устройствам, как Steam Deck и ASUS ROG Ally, устройство Lenovo Legion Go будет оснащено процессорами AMD Phoenix с 8-дюймовым дисплеем. Это может быть похоже на ранее просочившееся Android-устройство Lenovo Legion Play от Lenovo, которое так и не стало общедоступ...
      277
      Иван Семин 27 июля 2023 г. 00:27

      Московские центры обработки данных (ЦОД) делают дублирующую инфраструктуру за Уралом м

      Московские центры обработки данных (ЦОД) скоро потеряют своих клиентов из-за беспилотных атак. Для обеспечения безопасности данные массово переносятся за Урал.Бизнес покидает столичные ЦОДы. Компании, включая крупные, стремятся как можно скорее переместить свою инфраструктуру подальше от Москвы из-за атак беспилотников и увеличивающейся террористической угрозы. Обрабо...
      691
      Служба поддержи

      Яндекс.Метрика