Hackers chineses roubaram dezenas de milhares de e-mails de contas do Departamento de Estado dos EUA após violarem a plataforma de e-mail Exchange baseada na nuvem da Microsoft em maio.
Durante uma recente reunião de funcionários do Senado, funcionários do Departamento de Estado dos EUA revelaram que os invasores roubaram pelo menos 60.000 e-mails de contas do Outlook pertencentes a funcionários do Departamento de Estado estacionados na Ásia Oriental, Pacífico e Europa, conforme primeiro relatado pela Reuters.
Além disso, os hackers conseguiram obter uma lista contendo todas as contas de e-mail do departamento.
O pessoal do Departamento de Estado comprometido estava principalmente focado em esforços diplomáticos no Indo-Pacífico.
"Precisamos fortalecer nossas defesas contra esses tipos de ciberataques e intrusões no futuro e precisamos dar uma olhada séria na dependência do governo federal de um único fornecedor como um ponto fraco potencial", disse o senador Eric Schmitt em um comunicado.
Os relatórios também foram confirmados pelo porta-voz do Departamento de Estado, Matthew Miller, em uma coletiva de imprensa na quinta-feira.
"Sim, foi aproximadamente 60.000 e-mails não classificados que foram exfiltrados como parte dessa violação.
Não, sistemas classificados não foram hackeados.
Estes só estão relacionados ao sistema não classificado Miller disse aos repórteres.
"Nós não fizemos uma atribuição neste ponto mas, como eu disse antes, não temos razão para duvidar da atribuição que a Microsoft fez publicamente.
Novamente, este foi um hack dos sistemas da Microsoft que o Departamento de Estado descobriu e notificou a Microsoft."
Em julho, a Microsoft revelou que, a partir de 15 de maio de 2023, os atores da ameaça violaram com sucesso as contas do Outlook associadas a cerca de 25 organizações.
As organizações comprometidas incluem os Departamentos de Estado e de Comércio dos EUA e certas contas de consumidores presumivelmente ligadas a eles.
A Microsoft não divulgou detalhes específicos sobre as organizações afetadas, agências governamentais ou países impactados por esta violação de e-mail.
A empresa atribuiu os ataques a um coletivo de ciberespionagem conhecido como Storm-0558, suspeito de se concentrar em obter informações sensíveis infiltrando-se nos sistemas de e-mail de seus alvos.
No início deste mês, a Microsoft revelou que o grupo de ameaças primeiro obteve uma chave de assinatura de consumidor de um dump de crash do Windows, uma violação facilitada após comprometer a conta corporativa de um engenheiro da Microsoft, o que permitiu o acesso às contas de e-mail do governo.
A chave de conta Microsoft (MSA) roubada foi usada para comprometer as contas do Exchange Online e do Azure Active Directory (AD) explorando uma vulnerabilidade de validação de dia zero previamente corrigida no GetAccessTokenForResourceAPI.
A falha permitiu aos invasores gerar tokens de acesso assinados falsos, o que os permitiu se passar por contas dentro das organizações alvo.
Em resposta à violação de segurança, a Microsoft revogou a chave de assinatura roubada e, após investigações, não encontrou casos adicionais de acesso não autorizado às contas do cliente pelo mesmo método de falsificação do token de acesso.
Sob pressão da Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA), a Microsoft também concordou em ampliar o acesso a dados de log na nuvem sem custo, o que ajudaria os defensores de rede a identificar tentativas de violação semelhantes no futuro.
Anteriormente, essas capacidades de registro eram acessíveis exclusivamente para clientes com licenças de registro de auditoria Purview (Premium).
Por causa disso, a Microsoft enfrentou críticas por impedir as organizações de detectar rapidamente os ataques do Storm-0558.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...