Microsoft ha mitigato un attacco di un gruppo hacker cinese individuato come Storm-0558 che ha preso di mira principalmente le agenzie governative dell’Europa occidentale.
In una nuova dichiarazione rilasciata questa settimana sul blog, Microsoft ha avvertito che gli hacker cinesi hanno avuto accesso agli account di posta elettronica di agenzie governative, principalmente dell’Europa occidentale.
L’azienda afferma che il responsabile dell’attacco hacker è un gruppo noto come Storm-0558 e che probabilmente l’obiettivo era quello di spiare le infrastrutture critiche dei Paesi. Per farlo, gli hacker si sono introdotti negli account di posta elettronica utilizzati da 25 organizzazioni governative per rubare dati come e-mail, documenti e password.
Microsoft dichiara anche di aver informato le aziende colpite e di aver preso provvedimenti per mitigare i danni. Inoltre, l’azienda di Redmond ha attivato le autorità affinché possano contribuire a indagare e a risolvere eventuali criticità legate all’evento.
Microsoft ha spiegato come gli hacker cinesi siano riusciti a penetrare negli account di Outlook. Secondo quanto riportato, hanno utilizzato una chiave MSA rubata per falsificare i token di accesso a OWA e Outlook.com. Il gruppo ha sfruttato un problema di convalida dei token per impersonare gli utenti di Azure AD e ottenere l’accesso alle e-mail aziendali. Microsoft dichiara infine di non avere indicazioni sul fatto che altre chiavi Azure AD o altre chiavi MSA siano state utilizzate e di aver bloccato l’uso dei token emessi con la chiave rubata e che sta lavorando per rendere l’ecosistema più sicuro.
Per ora non è ancora noto quali dati siano stati spiati e o divulgati ai cinesi, ma il gruppo Storm-0558 è noto per lavorare su “hacking di alto profilo”. In tutte le loro azioni, gli hacker prendono di mira agenzie governative e altre organizzazioni sensibili nei Paesi occidentali.
Continuate a seguirci sui nostri canali e se vi saranno aggiornamenti pubblicheremo un nuovo articolo.