Стало известно, что в мае текущего года китайская группировка Storm-0558 похитила по меньшей мере 60 000 писем из учетных записей Outlook, принадлежащих чиновникам Госдепартамента США, находящимся в Восточной Азии, Тихоокеанском регионе и странах Европы. Напомним, что эта атака стала возможной из-за компрометации учетной записи инженера Microsoft.
Как сообщает Reuters, по словам представителей Госдепартамента США, злоумышленники украли по меньшей мере 60 000 несекретных электронных писем, а также хакерам удалось получить список всех учетных записей электронной почты ведомства. Большинство скомпрометированных сотрудников Госдепа были связана с дипломатическими миссиями в Индо-Тихоокеанском регионе.
В заявлении представителей Госдепартамента особенно подчеркивается, что в результате этого инцидента не были скомпрометированы секретные системы.
«На данный момент мы не установили атрибуцию [этой атаки], но, как я уже говорил, у нас нет оснований сомневаться в атрибуции, которую публично обнародовала Microsoft. Опять же, это был взлом систем Microsoft, который обнаружил Государственный департамент и уведомил Microsoft», — заявил официальный представитель Госдепартамента Мэтью Миллер (Matthew Miller) во время брифинга.
Напомним, что о хищении ключа MSA и атаке на Exchange Online и Azure Active Directory (AD), которую осуществила китайская хак-группа Storm-0558, стало известно в июне текущего года. Хакеры сумели похитить ключ подписи, который затем был использован для взлома правительственных учреждений в США и странах Западной Европы.
Тогда Microsoft сообщала, что в середине мая злоумышленникам удалось получить доступ к учетным записям Outlook, принадлежащим примерно 25 организациям, а также к некоторым учетным записям пользователей, которые, вероятно, были связаны с этими организациями. Названия пострадавших организаций и госучреждений не были раскрыты, лишь сообщалось, что среди пострадавших числятся Госдеп США и Министерство торговли страны.
Как выяснилось позднее, ключ MSA был получен хакерами из аварийного дампа Windows (crash dump), куда он попал случайно. А доступ к этому дампу злоумышленники получили после взлома корпоративной учетной записи инженера Microsoft.