W zeszły piątek Microsoft poinformował, że naprawił luki w interfejsie API, które umożliwiły cyberprzestępcom skompromitowanie chmurowych kont pocztowych należących do grupy klientów, wśród których są dwie agencje rządowe USA. Firma nadal jednak ustala, jak napastnikowi udało się ukraść klucz Azure Active Directory wykorzystany do ataku.

W opublikowanym na blogu poście Microsoft twierdzi, że skradziony klucz Azure AD został wykorzystany do podrobienia tokenów uwierzytelniających i uzyskania dostępu do poczty elektronicznej ok. 25 organizacji. Firma podała, że atakujący mieli dostęp do danych klientów Exchange Online za pośrednictwem Outlook Web Access. Sam atak Microsoft przypisuje grupie hakerskiej działającej w imieniu chińskiego rządu, której nadano kodową nazwą „Storm-0558”.

Jak poinformowała amerykańska agencja ds. cyberbezpieczeństwa i infrastruktury (CISA) atak został wykryty po tym, jak amerykańska agencja cywilna „zauważyła podejrzane działania w swoim środowisku chmurowym Microsoft 365 (M365)” i zgłosiła to Microsoftowi. Spekuluje się, że agencją tą jest Departament Stanu, a drugą dotkniętą atakami agencją rządową jest Departament Handlu.

CISA uspokaja, że skradzione dane nie były oznaczone jako poufne, a liczba dotkniętych kont była minimalna. – „Microsoft ustalił, że napastnicy uzyskali dostęp i wyekstrahowali nieklasyfikowane dane z Exchange Online z niewielkiej liczby kont” – napisano w komunikacie CISA.

Według Microsoftu atak prawdopodobnie rozpoczął się 15 maja, a śledztwo firmy rozpoczęło się 16 czerwca po otrzymaniu zgłoszenia od klienta dotyczącego „nietypowej aktywności poczty”. Microsoft poinformował też, że „zakończył neutralizację ataku dla wszystkich klientów” i że klienci nie muszą podejmować żadnych działań w odpowiedzi. „Jeśli nie otrzymaliście informacji, to zgodnie z naszym dochodzeniem nie byliście dotknięci” – brzmi komunikat.

To, że w poście na blogu Microsoft nie wyjaśniono, jak hakerzy zdobyli klucz firmy, niektórych ekspertów skłania do spekulacji, że sam Microsoft został przed kradzieżą zhakowany. Jak twierdzi Reuters, naruszenie spowodowało, że praktyki bezpieczeństwa Microsoftu zostały poddane kontroli, a urzędnicy i legislatorzy wzywają firmę z Redmond w stanie Waszyngton do udostępnienia wszystkim swoim klientom bezpłatnego audytu cyfrowego najwyższego poziomu.