Microsoft el martes reveló que repelió un ataque cibernético organizado por un actor del estado-nación chino dirigido a dos docenas de organizaciones, algunas de las cuales incluyen agencias gubernamentales, en una campaña de espionaje cibernético diseñada para adquirir datos confidenciales.
Los ataques, que comenzaron el 15 de mayo de 2023, implicaron el acceso a cuentas de correo electrónico que afectaron a aproximadamente 25 entidades y una pequeña cantidad de cuentas de consumidores individuales relacionadas.
El gigante tecnológico atribuyó la campaña a Storm-0558 y la describió como un grupo de actividad de un estado-nación con sede en China que destaca principalmente a las agencias gubernamentales en Europa Occidental.
«Se centran en el espionaje, el robo de datos y el acceso a credenciales», Microsoft dicho. «También se sabe que usan malware personalizado que Microsoft rastrea como Cigril y Bling, para acceder a las credenciales».
Se dice que la infracción se detectó un mes después, el 16 de junio de 2023, después de que un cliente no identificado informara a la empresa sobre la actividad anómala del correo electrónico.
Microsoft dijo que notificó a todas las organizaciones objetivo o comprometidas directamente a través de sus administradores de inquilinos. No nombró las organizaciones y agencias afectadas y la cantidad de cuentas que pueden haber sido pirateadas.
Sin embargo, según el Washington Post, los atacantes también irrumpieron en varias cuentas de correo electrónico estadounidenses no clasificadas.
El acceso a las cuentas de correo electrónico de los clientes, según Redmond, se facilitó a través de Outlook Web Access en Exchange Online (OWA) y Outlook.com al falsificar tokens de autenticación.
«El actor usó un clave MSA para falsificar tokens para acceder a OWA y Outlook.com», explicó. «Las claves de MSA (consumidor) y las claves de Azure AD (empresa) se emiten y administran desde sistemas separados y solo deben ser válidas para sus respectivos sistemas».
«El actor aprovechó un problema de validación de tokens para hacerse pasar por usuarios de Azure AD y obtener acceso al correo empresarial».
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
No hay evidencia de que el actor de amenazas haya usado claves de Azure AD o cualquier otra clave de MSA para llevar a cabo los ataques. Desde entonces, Microsoft bloqueó el uso de tokens firmados con la clave MSA adquirida en OWA para mitigar el ataque.
«Este tipo de adversario motivado por el espionaje busca abusar de las credenciales y obtener acceso a los datos que residen en sistemas confidenciales», Charlie Bell, vicepresidente ejecutivo de Microsoft Security, dicho.
La divulgación se produce más de un mes después de que Microsoft expusiera los ataques de infraestructura crítica montados por un colectivo adversario chino llamado Volt Typhoon (también conocido como Bronze Silhouette o Vanguard Panda) dirigido a los EE. UU.