Компания Microsoft вчера раскрыла подробности взлома её корпоративной сети, о котором стало известно в июле. Тогда сообщалось, что хакеры из группировки Storm-0558 больше месяца находились внутри сетей компании и получили доступ к множеству аккаунтов Azure и Exchange, несколько из которых принадлежали госдепартаменту и министерству торговли США.
Storm-0558 смогли это сделать, похитив истекший ключ подписи потребительских аккаунтов Microsoft и использовав его для подделки токенов для облачного сервиса Active Directory.
Теперь стало известно, что корпоративная учётная запись одного из инженеров Microsoft ранее была взломана. Именно таким образом злоумышленники получили доступ к его ключу подписи.
По словам Microsoft, такие ключи доверяются только сотрудникам, прошедшим проверку и использующим специальные рабочие станции с многофакторной аутентификацией. Но в апреле 2021 года произошёл сбой в работе одной из таких станций, в результате чего ключ попал в корпоративную среду в файле дампа памяти.
Что касается использования ключа для доступа к корпоративным сервисам, то проблема была в том, что при объединении потребительских и корпоративных облачных сервисов в 2018 году компанией не была реализована корректная криптографическая валидация ключей.
Из-за этого система принимала запросы на доступ к корпоративной почте с токенами, подписанными потребительским ключом. Сейчас эта проблема уже устранена.
Также Microsoft заявила, что примерно в 25 организациях одна или несколько учётных записей были взломаны в ходе вредоносной кампании, которая началась 15 мая и продолжалась до 16 июня. Microsoft не знала о массовом взломе, пока клиенты не сообщили ей об этом.
Корпорация описала группировку Storm-0558 как базирующихся в Китае продвинутых злоумышленников, действия и методы которых соответствуют целям шпионажа.
По данным Microsoft, группа нацелена на широкий круг организаций. К ним относятся: дипломатические, экономические и законодательные органы управления США и Европы, лица, связанные с тайваньскими и уйгурскими геополитическими интересами, медиа-компании, аналитические центры, а также поставщики телекоммуникационного оборудования и услуг.
Вскоре после июльского взлома многие раскритиковали Microsoft за отсутствие прозрачности в отношении расследования. Данные, опубликованные компанией вчера, являются большим шагом в плане ответственности перед клиентами. Хотя редмондовской корпорации ещё предстоит проделать немалую работу в этом направлении.