Группировка Storm-0558 взломала почтовые ящики более двух десятков организаций по всему миру, включая правительственные учреждения в США и странах Западной Европы. Хакеры получили доступ к чужим учетным записям электронной почты с помощью Outlook Web Access в Exchange Online (OWA) и Outlook.com, подделав токены аутентификации.
В Microsoft рассказывают, что компания начала расследование этих атак 16 июня 2023 года, получив сообщения о необычной почтовой активности от ряда клиентов.
Обнаружилось, что с 15 мая 2023 года злоумышленникам удалось получить доступ к учетным записям Outlook, принадлежащим примерно 25 организациям, а также к некоторым учетным записям пользователей, которые, вероятно, были связаны с этими организациями. Названия пострадавших организаций и госучреждений не раскрываются.
Исследователи рассказывают, что для этой атаки злоумышленники использовали токены аутентификации, подделанные с помощью полученного неизвестным образом криптографического ключа MSA (Microsoft account consumer signing key), который используется для подписания токенов.
«В ходе расследования Microsoft было установлено, что Storm-0558 получила доступ к учетным записям электронной почты клиентов с помощью Outlook Web Access в Exchange Online (OWA) и Outlook.com, подделав токены аутентификации для доступа к почте, — сообщает Microsoft. — Злоумышленники использовали полученный ими ключ MSA для подделки токенов для доступа к OWA и Outlook.com. Ключи MSA (потребительские) и ключи Azure AD (корпоративные) выпускаются и управляются из разных систем и должны быть действительны только для соответствующих систем. Злоумышленники использовали проблему с проверкой валидации токенов, чтобы выдать себя за пользователей Azure AD и получить доступ к корпоративной почте. Мы не обнаружили признаков того, что эта группировка использовала ключи Azure AD или любые другие ключи MSA».
Сообщается, что компания уже приняла меры для устранения проблемы, в том числе заблокировала использование токенов, подписанных скомпрометированным ключом, и заменила сам ключ. Все пострадавшие клиенты получили уведомления о случившемся, а также «информацию, необходимую для реагирования на инцидент».
При этом совершенно неясно, как именно такой важный ключ MSA вообще попал в руки хакеров. ИБ-эксперты уже строят различные теории на этот счет. К примеру, предполагается, что ключ мог храниться в одной из локальных установок в сети клиентов (ведь в старых версиях Outlook сервис размещается и управляется на сервере, принадлежащем клиенту, а не в облаке Microsoft, но непонятно, как там мог оказаться ключ).
Также считается, что ключ для подписи токенов мог быть украден из собственной сети Microsoft, мог быть получен путем обмана компании, или злоумышленники вообще сумели каким-то образом воспроизвести его путем эксплуатации ошибок в криптографическом процессе.
Известный ИБ-специалист Роберт RSnake Хансен считает, что если Microsoft пишет об улучшении безопасности «систем управления ключами», можно предположить, что «удостоверяющий центр» Microsoft (собственная система генерации ключей для криптографической подписи токенов) был каким-то образом был скомпрометирован китайскими хакерами.
«Весьма вероятно, что либо в инфраструктуре, либо в конфигурации центра сертификации Microsoft произошел сбой, который привел к компрометации существующего сертификата или к созданию нового», — считает Хансен.
Если теории экспертов верны, и хакеры действительно похитили ключ, который можно использовать для массовой подделки токенов (в том числе в корпоративных учетных записях), жертв может оказаться намного больше, чем те 25 организаций, о которых заявляет Microsoft.
«Мы доверяли паспортам, но кто-то украл машину для печати паспортов, — объясняет Джейк Уильямс, бывший хакер из АНБ, который сейчас преподает в Институте прикладной сетевой безопасности в Бостоне. — Для такого крупного бизнеса, как Microsoft, с таким количеством клиентов, которые пострадали или могли пострадать, это просто беспрецедентно».
Как сообщает CNN, об этой проблеме Microsoft предупредили официальные лица правительства США, которые обнаружили несанкционированный доступ к облачным почтовым службам Microsoft. По словам представителя Совета национальной безопасности Белого дома Адама Ходжа, атаки затронули только «несекретные системы», но расследование того, какие данные были украдены, все еще продолжается.