Поделиться
Microsoft в тупике. Она не может понять, как китайские хакеры взломали Exchange Online и Azure AD
Компания Microsoft расследует крупную атаку на
аккаунты в Azure AD и Exchange Online, принадлежащие двум с половиной десяткам организаций,
в том числе министерствам. Уже известно, кто устраивал атаку, но ключевым остается
вопрос, как это было сделано.
Нас взломали, но мы не знаем как
Корпорация Microsoft опубликовала бюллетень, связанный с инцидентом, случившимся в середине июня 2023 г. Злоумышленникам удалось взломать аккаунты в Exchange Online и Azure Active Directory (AD) более двух десятков организаций, включая правительственные.
Расследование позволило установить, что китайская кибершпионская группировка Storm-0558 добралась до почтовых ресурсов 25 организаций, в числе которых, предположительно, два министерства США.
Хакерам удалось каким-то образом похитить клиентский ключи подписывания к неактивному аккаунту Microsoft MSA и с его помощью совершить атаки.
В бюллетене указывается, что изначально аналитики Microsoft предположили, что злоумышленники крадут корректно выпущенные токены AzureAD, используя вредоносы на зараженных системах клиентов. Позднее выяснилось, что операторы атак использовали артефакты авторизации Exchange Online, которые обыкновенно являются производными от токенов к Azure AD. Однако вскоре выяснилось, что внутренние артефакты Exchange Online не соответствуют токенам Azure AD.
На этом этапе аналитики Microsoft предположили, что операторы атак смогли каким-то образом получить корпоративный ключ подписывания Azure AD.
«Глубинный анализ действий злоумышленников в Exchange Online показал, что на самом деле операторы атаки подделывали токены Azure AD, используя приобретенный ключ подписывания пользовательских аккаунтов Microsoft (MSA). Это стало возможным в результате ошибки валидации в коде Microsoft», — говорится в документе.
Каким образом они смогли получить этот ключ, остается загадкой и главным предметом продолжающегося расследования.
«Вариантов, в целом, не так много, хотя со стороны профессионалов, а в данном случае работали именно они, могут быть сюрпризы, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Выяснить, каким образом хакеры получили ключи, однако, очень важно, поскольку обычно метод, сработавший единожды, в том или ином виде используется и в последующих атаках».
Киберштурмовики
Известно, что группировка Storm-0558 способна использовать скрипты PowerShell и Python, чтобы сгенерировать новые токены доступа через вызовы RESTAPI к службе OWA Exchange Store для кражи почтовых сообщений и вложений к ним.
Впрочем, на данный момент в Microsoft не смогли подтвердить использование этого метода в ходе июньских атак.
«Наша телеметрия и данные, полученные в ходе расследования, показали, что после первичной компрометации производился только доступ к почтовым аккаунтам интересовавших хакеров лиц и вывод их данных», — указывается в бюллетене.
27 июня 2023 г. Microsoft отозвала все валидные ключи подписывания MSA, чтоб исключить возможность генерации новых токенов доступа, а уже сгенерированные переместила в хранилище ключей, которое используется в собственных enterprise-системах компании.
Microsoft заблокировала использование украденного ключа для всех пользователей 3 июля и, как утверждается, вся инфраструктура, которую злоумышленники использовали для воспроизведения ключей, закрылась днем позже.
По данным Microsoft, операторы Storm-0558 переключились на другие методы атак, что означает, что они не могут больше использовать скомпрометированные ключи и генерировать токены.
Короткая ссылка
