Microsoft ha ampliado las capacidades de registro gratuito a todas las agencias federales de EE. UU. utilizando Microsoft Purview Audit, independientemente del nivel de licencia, más de seis meses después de que saliera a la luz una campaña de ciberespionaje vinculada a China dirigida a dos docenas de organizaciones.
“Microsoft habilitará automáticamente los registros en las cuentas de los clientes y aumentará el período de retención de registros predeterminado de 90 días a 180 días”, dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dicho.
“Además, estos datos proporcionarán nueva telemetría para ayudar a más agencias federales a cumplir con los requisitos de tala exigidos por [Office of Management and Budget] Memorándum M-21-31“.
Microsoft, en julio de 2023, reveló que un grupo de actividad de un estado-nación con sede en China conocido como Storm-0558 obtuvo acceso no autorizado a aproximadamente 25 entidades en EE. UU. y Europa, así como a una pequeña cantidad de cuentas de consumidores individuales relacionadas.
“Storm-0558 opera con un alto grado de habilidad técnica y seguridad operativa”, señaló la compañía. “Los actores son muy conscientes del entorno del objetivo, las políticas de registro, los requisitos de autenticación, las políticas y los procedimientos”.
Se cree que la campaña comenzó en mayo de 2023, pero se detectó solo un mes después, después de que una agencia federal de EE. UU., que luego se reveló como el Departamento de Estado, descubrió actividad sospechosa en registros de auditoría no clasificados de Microsoft 365 y lo informó a Microsoft.
La infracción se detectó aprovechando el registro mejorado en Microsoft Purview Audit, específicamente utilizando el Acción de auditoría de buzones de MailItemsAccessed que normalmente está disponible para suscriptores Premium.
Posteriormente, el fabricante de Windows reconoció que un error de validación en su código fuente permitió que Storm-0558 falsificara tokens de Azure Active Directory (Azure AD) utilizando una clave de firma de consumidor de cuenta de Microsoft (MSA) y luego los usara para penetrar en los buzones de correo.
Se estima que los atacantes robaron al menos 60.000 correos electrónicos no clasificados de cuentas de Outlook pertenecientes a funcionarios del Departamento de Estado estacionados en el este de Asia, el Pacífico y Europa, Reuters reportado en septiembre de 2023. Beijing ha negado las acusaciones.
También enfrentó un intenso escrutinio por retener capacidades de registro básicas pero cruciales a entidades que están en el plan más caro E5 o G5, lo que llevó a la empresa a realizar cambios.
“Reconocemos la importancia vital que juega el registro avanzado para permitir que las agencias federales detecten, respondan y prevengan incluso los ataques cibernéticos más sofisticados provenientes de actores con buenos recursos y patrocinados por el estado”, dijo Candice Ling de Microsoft. “Por esta razón, hemos estado colaborando con todo el gobierno federal para brindar acceso a registros de auditoría avanzados”.