Microsoft ha recentemente mitigato un attacco cibernetico condotto da un gruppo basato in Cina, identificato come Storm-0558. Questo gruppo ha preso di mira le email dei clienti, concentrandosi principalmente sulle agenzie governative dell’Europa occidentale con l’intento di spionaggio, furto di dati e accesso alle credenziali. È quanto fa sapere l’azienda in un blogpost in cui sono stati pubblicati anche tutti i dettagli tecnici
Accesso agli account di 25 organizzazioni
L’attacco è stato segnalato da alcuni clienti il 16 giugno 2023, portando Microsoft a indagare su attività di posta elettronica anomale. Le indagini hanno rivelato che a partire dal 15 maggio 2023, Storm-0558 aveva ottenuto l’accesso agli account di posta elettronica di circa 25 organizzazioni, incluse alcune agenzie governative, nonché agli account dei consumatori collegati a persone probabilmente associate a queste organizzazioni.
Utilizzo di falsi token per l’autenticazione
Il metodo di attacco consisteva nell’utilizzo di token di autenticazione falsi per accedere alle email degli utenti, ottenuti tramite una chiave di firma del consumatore acquisita da un account Microsoft.
Microsoft rende noto di aver completato la mitigazione di questo attacco per tutti i clienti, bloccando l’accesso di Storm-0558 alle email dei clienti utilizzando i token di autenticazione contraffatti. La società ha assicurato che non è necessaria alcuna azione da parte dei clienti.
Obiettivo: compromettere i sistemi informatici
“Gli attori motivati delle minacce continuano a concentrarsi sulla compromissione dei sistemi informatici. Questi avversari dotati di buone risorse non fanno distinzione tra il tentativo di compromettere account aziendali o personali associati a organizzazioni mirate, poiché basta un solo login di account compromesso con successo per ottenere un accesso persistente, esfiltrare informazioni e raggiungere obiettivi di spionaggio – commenta Charlie Bell, vicepresidente esecutivo della sicurezza di Microsoft in un altro blogpost. L’attore della minaccia che Microsoft collega a questo incidente è un avversario con sede in Cina che Microsoft chiama Storm-0558. Riteniamo che questo avversario sia focalizzato sullo spionaggio, come l’accesso ai sistemi di posta elettronica per la raccolta di informazioni. Questo tipo di avversario motivato dallo spionaggio cerca di abusare delle credenziali e di ottenere l’accesso ai dati che risiedono in sistemi sensibili”.
Il manager aggiunge che è stata avviata una collaborazione con le agenzie governative competenti, come la Dhs Cisa.
