Microsoft je u petak saopštio da je greška validacije u njegovom izvornom kodu omogućila da haker poznat kao Storm-0558 krivotvori tokene Azure Active Directory (Azure AD) koristeći ključ za potpisivanje Microsoft naloga (MSA) kako bi provalio 24 organizacija.
“Storm-0558 je nabavio neaktivni MSA ključ za potpisivanje potrošača i koristio ga za krivotvorenje tokena za autentifikaciju za Azure AD preduzeća i MSA potrošača za pristup OWA i Outlook.com” rekao je tehnološki gigant u dubljoj analizi kampanje. “Način kojim je haker došao do ključa je stvar istrage koja je u toku.”
“Iako je ključ bio namijenjen samo za MSA račune, problem s provjerom valjanosti omogućio je da ovaj ključ bude pouzdan za potpisivanje Azure AD tokena. Ovaj problem je ispravljen.”
Nije odmah jasno da li je problem validacije tokena iskorišćen kao “Zero-Day ranjivost” ili je Microsoft već bio svjestan problema prije nego što je došao pod zloupotrebu u prirodi.
Napadi su izdvojili otprilike 25 organizacija, uključujući vladine subjekte i povezane korisničke račune, kako bi dobili neovlašteni pristup email-u i eksfiltrovali podatke poštanskog sandučića. Kaže se da nije pogođeno nijedno drugo okruženje.
Kompanija je obaviještena o incidentu nakon što je američki State Department otkrio anomalnu aktivnost email-a u vezi s pristupom podacima Exchange Online. Sumnja se da je Storm-0558 pretnja sa sjedištem u Kini koja provodi maliciozne kibernetičke aktivnosti koje su u skladu sa špijunažom, iako je Kina odbacila optužbe.
Primarne mete hakerske ekipe uključuju diplomatska, ekonomska i zakonodavna tijela SAD i Europe, te pojedince povezane s geopolitičkim interesima Tajvana i Ujgura, kao i medijske kompanije, trustove mozgova i pružaoce telekomunikacijske opreme i usluga.
Navodi se da je bio aktivan najmanje od avgusta 2021. godine, orkestrujući prikupljanje kredencijala, phishing kampanje i napade na OAuth tokene usmjerene na Microsoft račune kako bi ostvarili svoje ciljeve.
“Storm-0558 radi sa visokim stepenom tehničke trgovačke i operativne sigurnosti” rekao je Microsoft, opisujući ga kao tehnički vještog, dobro opremljenog i sa dobrim razumijevanjem različitih tehnika i aplikacije autentifikacije.
“Hakeri su svjesni ciljnog okruženja, politika evidentiranja, zahtjeva za autentifikaciju, politika i procedura.”
Inicijalni pristup ciljnim mrežama ostvaruje se kroz krađu identiteta i iskorištavanje sigurnosnih propusta u javnim aplikacijama, što dovodi do implementacije web shell China Chopper za backdoor pristup i alata nazvanog Cigril za olakšavanje krađe kredencijala.
Storm-0558 takođe koristi PowerShell i Python skripte za izdvajanje podataka email-a kao što su prilozi, informacije o fascikli i čitavi razgovori koristeći Outlook Web Access (OWA) API pozive.
Microsoft je rekao da je od otkrića kampanje 16. juna 2023. godine “identifikovao osnovni uzrok, uspostavio trajno praćenje kampanje, poremetio maliciozne aktivnosti, ojačao okruženje, obavijestio svakog pogođenog klijenta i koordinirao s više vladinih subjekata.” Takođe je navedeno da je ublažio problem “u ime klijenata” od 26. juna 2023. godine.
Tačan obim proboja ostaje nejasan, ali to je najnoviji primjer pretnje sa sjedištem u Kini koji provodi kibernetičke napade tražeći osjetljive informacije i izvodi tajni obavještajni udar bez privlačenja pažnje najmanje mjesec dana prije nego što je otkriven u junu 2023. godine.
Ovo otkrivanje dolazi nakon što se Microsoft suočio s kritikama zbog svog rukovanja hakom i zbog zatvaranja forenzičkih mogućnosti iza dodatnih barijera za licenciranje, čime se sprečava klijentima da pristupe detaljnim evidencijama revizije koje bi inače mogle pomoći u analizi incidenta.
“Naplatiti ljudima premium funkcije neophodne da ne bi bili hakovani je kao da prodajete automobil, a zatim dodatno naplaćujete sigurnosne pojaseve i vazdušne jastuke” rekao je američki senator Ron Wyden.
Razvoj takođe dolazi kada je Parlamentarni odbor za obavještajne poslove i sigurnost Ujedinjenog Kraljevstva (ISC) objavio detaljan izvještaj o Kini, pozivajući se na njenu “veoma efikasnu sposobnost kibernetičke špijunaže” i njenu sposobnost da prodre u raznoliki spektar IT sistema stranih vlada i privatnog sektora.
Izvor: The Hacker News