A Microsoft informou na terça-feira que um grupo chinês de ciberespionagem que rastreia como Storm-0558 foi recentemente detectado usando tokens de autenticação forjados para invadir contas de e-mail do governo.
De acordo com a gigante da tecnologia, os hackers obtiveram acesso às contas de e-mail de cerca de 25 organizações, incluindo agências governamentais e contas de consumidores pertencentes a indivíduos associados às entidades visadas.
A investigação da Microsoft mostrou que o agente da ameaça forjou tokens de autenticação para obter acesso a contas de e-mail de clientes usando o Outlook Web Access no Exchange Online (OWA) e Outlook.com. Especificamente, os invasores usaram uma chave de assinatura do consumidor da conta da Microsoft (MSA) para falsificar os tokens.
“As chaves MSA (consumidor) e as chaves Azure AD (empresa) são emitidas e gerenciadas a partir de sistemas separados e devem ser válidas apenas para seus respectivos sistemas,” Microsoft explicou. “O ator explorou um problema de validação de token para representar os usuários do Azure AD e obter acesso ao correio corporativo. Não temos indicações de que as chaves do Azure AD ou quaisquer outras chaves MSA tenham sido usadas por esse ator.”
A empresa apontou que apenas OWA e Outlook.com foram visados usando tokens de autenticação forjados.
A Microsoft disse que tomou conhecimento dos ataques em 16 de junho e uma investigação mostrou que a atividade começou um mês antes.
A empresa tomou medidas para mitigar o ataque, inclusive bloqueando o uso de tokens assinados com a chave comprometida e substituindo a própria chave. Os clientes afetados foram notificados e receberam as informações necessárias para a resposta a incidentes.
A Microsoft disse que o grupo Storm-0558 visa principalmente agências governamentais na Europa Ocidental, com foco em ciberespionagem, roubo de dados e acesso a credenciais.
No entanto, CNN soube que as contas de e-mail não classificadas do governo dos EUA também foram alvo dos ciberespiões chineses. A vulnerabilidade que tornou o ataque possível teria sido descoberta pelo governo dos EUA, especificamente pelo Departamento de Estado, que notificou a Microsoft.
A Microsoft também revelou na terça-feira, quando informou aos clientes sobre mais de 130 novas vulnerabilidades, incluindo vários zero-days ativamente explorados, que um ator de ameaça russo conhecido como Storm-0978 e RomCom havia explorou um zero-day rastreado como CVE-2023-36884 em ataques direcionados a entidades governamentais e de defesa na Europa e América do Norte.
O grupo é conhecido por suas atividades cibercriminosas, mas recentemente se voltou para a espionagem. Foi observado convidados e outras entidades apoiando a Ucrânia.