Pas identifikimit të fushatës së phishing-ut të nisur nga kriminelët kibernetikë rusë, Microsoft u përball edhe me një sulm të kryer nga kriminelët kibernetikë kinezë. Grupi Storm-0558 shfrytëzoi një dobësi të shërbimit cloud për të hyrë në llogaritë e postës elektronike të disa agjencive qeveritare që përdorin Outlook. Qëllimi është padyshim vjedhja e informacionit konfidencial (spiunazh kibernetik).
Microsoft bllokon spiunët kinezë
Objektivat kryesore të grupit Storm-0558 janë agjencitë qeveritare perëndimore. Aktivitetet më të shpeshta janë vjedhja e kredencialeve, spiunazhi dhe vjedhja e të dhënave. Pas raporteve të marra nga klientët në mes të qershorit, Microsoft nisi një hetim dhe zbuloi se kriminelët kibernetikë kishin fituar akses në llogaritë e postës elektronike për rreth një muaj (mesi i majit).
Grupi Storm-0558 përdori një çelës MSA (Llogaria Microsoft) për të marrë argumentet e vërtetimit që lejojnë aksesin në Outlook.com dhe Outlook Web Access në Exchange Online. Çelësat MSA, si çelësat Azure Active Directory (AD) lëshohen dhe menaxhohen nga sisteme të veçanta dhe duhet të jenë të vlefshme vetëm për sistemet e tyre përkatëse. Por kriminelët kibernetikë shfrytëzuan një të metë në vërtetimin e shenjave për të imituar përdoruesit e Azure AD dhe për të hyrë në emailin e ndërmarrjes.
Microsoft ka kontaktuar të gjitha organizatat e prekura (afërsisht 25) për të ofruar informacionin e nevojshëm. Kompania Redmond ka zbatuar gjithashtu masa të ndryshme sigurie, duke përfshirë bllokimin e shenjave të nënshkruara me çelësin MSA dhe zëvendësimin e çelësit për të parandaluar gjenerimin e shenjave të tjera. Asnjë veprim nuk kërkohet nga klientët.
Discussion about this post