Microsoft ha annunciato di aver recentemente bloccato un gruppo di hacker, che ha etichettato Storm-0558, che accedeva ad account di posta elettronica appartenenti a circa 25 organizzazioni, comprese le agenzie governative.
Come gli hacker hanno ottenuto l'accesso agli account di posta elettronica
In un post sul blog, Microsoft ha affermato di aver iniziato a indagare su attività anomale in alcuni account di posta elettronica il 16 giugno dopo essere stata informata dai clienti.
La sua indagine ha rivelato che a partire dal 15 maggio, il gruppo di hacker ha sfruttato una vulnerabilità per falsificare i token di autenticazione e ottenere l'accesso agli account Microsoft 365 delle organizzazioni.
Utilizzando una chiave di firma dell'account utente Microsoft compromessa, gli hacker potrebbero impersonare gli utenti e accedere agli account di posta elettronica tramite servizi come Outlook Web Access e Outlook.com.
Secondo un recente avviso congiunto della Cybersecurity and Infrastructure Security Agency (CISA) e dell'FBI, l'agenzia federale ha osservato attività sospette nei suoi registri di Microsoft 365.
Ciò ha portato alla scoperta che gli attori delle minacce persistenti avanzate avevano avuto accesso ed esfiltrato i dati da alcuni account Outlook di Exchange Online.
Cos'è Storm-0558?
Secondo il profilo dell'attore di Storm-0558 di Microsoft, la descrizione del gruppo è la seguente:
Storm-0558 (DEV-0558) è un gruppo di attività stato-nazione con sede fuori dalla Cina. Si concentrano su spionaggio, furto di dati e accesso alle credenziali. Sono anche noti per utilizzare malware personalizzato che Microsoft traccia come Cigril e Bling, per l'accesso alle credenziali.
Come è stato risolto il problema
La CISA e l'FBI hanno consigliato alle organizzazioni che utilizzano Exchange Online di implementare un monitoraggio e una registrazione avanzati per rilevare attacchi simili.
I loro consigli includono l'abilitazione di funzionalità avanzate di registrazione degli audit e l'acquisizione di visibilità nei modelli di traffico cloud standard.
Microsoft afferma di aver risolto completamente il problema e bloccato l'accesso degli hacker. Sta lavorando con i clienti interessati e li ha informati prima della sua divulgazione pubblica.
La società ha affermato di non aver trovato alcuna prova che gli hacker siano rimasti in alcun sistema aziendale.
Mitigare i futuri attacchi informatici
Quest'ultima attività arriva mentre gli attacchi informatici continuano ad aumentare contro le organizzazioni di tutto il mondo.
Il senatore degli Stati Uniti Mark R. Warner, presidente del Senate Select Committee on Intelligence, ha espresso preoccupazione per le segnalazioni dell'ultimo attacco informatico e per ciò che sarebbe necessario per prevenire incidenti futuri.
“Il Senate Intelligence Committee sta monitorando da vicino quella che sembra essere una significativa violazione della sicurezza informatica da parte dell'intelligence cinese. È chiaro che la Repubblica Popolare Cinese sta costantemente migliorando le sue capacità di raccolta informatica dirette contro gli Stati Uniti e i nostri alleati. Uno stretto coordinamento tra il governo degli Stati Uniti e il settore privato sarà fondamentale per contrastare questa minaccia”.
Microsoft prevede di continuare a migliorare la sicurezza delle chiavi e dei token dell'account per stare al passo con l'evoluzione dei rischi informatici.
Ha sottolineato la necessità di una continua collaborazione e trasparenza per rafforzare le difese in tutto il settore tecnologico contro sofisticate campagne di hacking.
Immagine in primo piano: Koshiro K/Shutterstock
