«Microsoft блокирует всю активность актеров после того, как хакеры украли ключ для подделки аутентификационных токенов»

Microsoft blocks all actor activity after hackers steal key for forging authentication tokens.

После объявления о атаке хакеров, которые нацелились на электронную почту клиентов, Microsoft до сих пор не предоставил более подробной информации о том, как преступники проникли в систему. Компания раскрыла деятельность угрозы, отслеживаемой как Storm-0558. Ранее хакеры в основном нацеливались на военные и правительственные органы в Европе, и их деятельность отразилась на телекоммуникационной и финансовой отраслях.

Microsoft объяснил, что атакующий, базирующийся в Китае, получил доступ к электронным почтовым аккаунтам, затронув около 25 организаций. Поскольку правительственные агентства становятся жертвами этой неприятной ситуации, люди, вероятно, связанные с этими организациями, также не остались в стороне. Через несколько дней американская технологическая компания подчеркнула, что ведется расследование данного вопроса, и она предприняла усилия для улучшения защиты затронутых систем. Microsoft дополнительно проанализировал методы, которые использовали хакеры, чтобы получить несанкционированный доступ к электронным данным, инструментам и уникальным характеристикам инфраструктуры электронной почты.

Хакеры получают доступ к ключам подписи Microsoft Consumer

По словам Microsoft, хакеры получили доступ к одному из ключей подписи потребителя, или MSA ключу. Тем временем, технологическая компания использует эту технологию для защиты учетных записей потребителей электронной почты. Сначала Microsoft предположила, что хакеры подделают аутентификационные токены с помощью украденного ключа подписи предприятия, который они могут использовать для получения контроля над корпоративными и предприятий электронными почтовыми аккаунтами. Однако они использовали полученный ключ подписи потребителя учетной записи Microsoft (MSA), чтобы получить доступ к электронной почте пользователей. Команда отметила, что это было возможно “из-за ошибки проверки в Microsoft-коде”. Преступники допустили ошибку, что облегчило их выявление со стороны следователей.

“Использование неправильного ключа для подписи запросов позволило нашим расследовательским группам видеть все запросы доступа актера, которые следовали этому шаблону как в наших корпоративных, так и в потребительских системах. Использование неправильного ключа для подписи данного объема утверждений было очевидным индикатором деятельности актера, поскольку ни одна система Microsoft не подписывает токены таким образом”, – написала компания.

Отметим, что компания заверила, что приняла меры для блокировки всех действий актера в отношении этого инцидента. Может ли Microsoft иметь в виду, что шторм прошел, а хакеры потеряли доступ? Хотя команда не указала, как именно она потеряла контроль над своими собственными ключами, хорошей новостью является то, что компания “усилила системы выдачи ключей”.

Даже если угроза закончилась и хакеры потеряли контроль, Microsoft все равно должна ответить перед регуляторами. Компания теперь сталкивается с пристальным вниманием к своей работе по управлению инцидентом. Согласно CNN, Министерство иностранных дел первым обнаружило атаку, после чего сообщило об этом Microsoft. В то же время не все правительственные агентства имеют такие возможности для обнаружения преступной деятельности. The Wall Street Journal пояснила, что такой уровень журналирования безопасности доступен только для учетных записей Microsoft с более высоким уровнем оплаты. Microsoft действительно ожидает пристального внимания после атаки.

We will continue to update BiLee; if you have any questions or suggestions, please contact us!

Share:

Was this article helpful?

93 out of 132 found this helpful

Discover more