Продолжается расследование прошлогоднего взлома компании Microsoft, за которым стояла китайская хак-группа Storm-0558. Теперь отчет об инциденте обнародовал Совет по контролю обеспечения кибербезопасности США (CSRB), созданный при Министерстве внутренней безопасности. Совет раскритиковал компанию за то, что она «не уделяет приоритетного внимания инвестициям в корпоративную безопасность и строгому управлению рисками».
CSRB провел анализ инцидента, основываясь на данных, полученных от пострадавших организаций, компаний и экспертов по кибербезопасности, правоохранительных органов и самих представителей Microsoft.
Атака Storm-0558
Напомним, что исходно о краже криптографического ключа MSA (Microsoft Services Account) и массовой атаке на Exchange Online и Azure Active Directory, от которой в итоге пострадали 22 организации и 503 частных лица по всему миру, включая правительственные учреждения в США и странах Западной Европы, стало известно в середине июля 2023 года.
Названия всех пострадавших организаций и госучреждений не были раскрыты. Известно лишь, что в число пострадавших входят, например, Госдеп и Министерство торговли США, а также послы США в Китае — Николас Бернс и Дэниел Критенбринк. Как теперь пишет CSRB, только из систем Государственного департамента США было украдено более 60 000 электронных писем.
Долгое время в Microsoft вообще не объясняли, каким образом такой важный ключ мог оказаться в руках хакеров. Позже в компании заявили, что китайские хакеры из группировки Storm-0558 получили ключ после взлома корпоративной учетной записи инженера Microsoft, обнаружив его в аварийном дампе Windows (crash dump), куда ключ вообще не должен был попасть.
Однако свежий документ CSRB гласит, что 12 марта 2024 года Microsoft обновила свой отчет и уточнила, что это была лишь теория, и никаких доказательств в ее поддержку в итоге найдено не было. Дело в том, что этот теоретический аварийный дамп так и не нашли.
Оказалось, что во время расследования инцидента Microsoft рассматривала этот сценарий наряду с другими сорока шестью. Среди прочих гипотез были:
- атака злоумышленников, обладающих возможностями для квантовых вычислений, которые могли попросту взломать интересовавшую их криптографию;
- инсайдер, похитивший ключ еще во время его создания.
Согласно новой «рабочей теории», которой специалисты Microsoft поделились с CSRB, атака 2023 года о вовсе могла быть связана с другим взломом, датированным еще 2021 годом. Якобы те же самые злоумышленники скомпрометировали корпоративную сеть компании через аккаунт неназванного инженера, который был взломан еще примерно за год до этого. И в итоге это дало хакерами доступ к конфиденциальны аутентификационным и идентификационным данным.
При этом устройство неназванного сотрудника якобы было атаковано еще в то время, когда он работал в компании Affirmed Networks, которую Microsoft приобрела в 2020 году. То есть после приобретения Affirmed Networks Microsoft не провела аудит кибербезопасности и просто предоставила корпоративные учетные данные новым сотрудникам. А на тот момент устройство одного из них уже было скомпрометировано участниками Storm-0558.
Представители CSRB отмечают, что Microsoft не смогла предоставить никаких доказательств, подтверждающих и эту теорию. Более того, компания обновила свой исходный отчет (где взлом связывали с аварийным дампом Windows, куда якобы случайно мог попасть ключ) лишь после неоднократных требований и напоминаний со стороны членов CSRB, указывавших на то, что в отчете содержатся «ложные заявления».
CSRB заключает, что спустя почти год после атаки у Microsoft до сих пор нет никаких убедительных фактов и доказательств того, как именно злоумышленники могли похитить ключ MSA. Совет подчеркивает, что расследование продолжается.
Критика
Нужно сказать, что в целом доклад CSRB полон жесткой критики в адрес Microsoft. Документ гласит, что такая атака вообще «не должна было произойти», а ее причиной послужил «каскад ошибок со стороны Microsoft, которых можно было избежать».
Например, в отчете подчеркивается, что Microsoft не сумела даже обнаружить взлом самостоятельно, и узнала о нем лишь 16 июня 2023 года, после того как ее предупредили представители Госдепартамента США, за день до этого обнаружившие признаки компрометации собственных почтовых систем.
Также отмечается, что Microsoft «не уделяла достаточного внимания перестройке своей старой инфраструктуры с учетом текущего ландшафта угроз». Ведь ключ MSA, который компания создала в 2016 году, должен был быть аннулирован еще в марте 2021 года. Причина, по которой он остался действительным, заключается в том, что в то время ротация ключей для потребительских систем производилась вручную, в отличие от автоматизированного процесса для предприятий.
В 2021 году, после крупного сбоя в работе облака, связанного с ручной ротацией ключей, Microsoft отказалась от этого процесса, однако не оставила никаких предупреждений и оповещений для сотрудников, чтобы информировать их о старых, активных ключах MSA, которые нужно вывести из эксплуатации.
И хотя ключ MSA 2016 года был предназначен для подписи токенов доступа только потребительских учетных записей, уязвимость позволила Storm-0558 использовать его и для корпоративной электронной почты.
На встрече с членами CSRB представители Microsoft объясняли, что уязвимость появилась после создания службы OpenID Connect (OIDC), где перечислялись активные ключи подписи для корпоративных и потребительских систем. При этом SDK не были обновлены должным образом, чтобы различать потребительские ключи MSA и ключи для предприятий. Это позволяло аутентифицировать почтовое приложение через IAM-систему Microsoft Entra, используя любой из типов ключей.
До сих пор неизвестно, каким образом злоумышленники вообще обнаружили эту уязвимость и разобрались, каким образом создать токены, работающие как для потребительских, так и для корпоративных учетных записей. В Microsoft предполагают, что хакеры могли обнаружить эту возможность методом проб и ошибок.
Также в отчете CSRB содержатся десятки рекомендаций, которые Microsoft должна принять во внимание при восстановлении после инцидента. Для составления этого списка эксперты побеседовали с десятками других поставщиков облачных услуг, которые перечислили множество способов защиты от подобных атак.
«Совет пришел к выводу, что культура безопасности Microsoft оказалась неадекватной и требует пересмотра, особенно с учетом центрального положения компании в технологической экосистеме и уровня доверия клиентов к компании в вопросах защиты их данных и операций, — резюмировали эксперты CSRB. — Клиенты Microsoft только выиграют, если CEO и совет директоров компании сосредоточатся непосредственно на культуре безопасности, разработают и публично представят план с конкретными сроками проведения фундаментальных реформ, ориентированных на безопасность, как в самой компании, так и во всех ее продуктах».
