Sicurezza: l’hacking dell’account di un ingegnere e un rapporto troppo prolisso sul dump di memoria post-incidente sono alla base di questa sofisticata campagna di spionaggio.
Finalmente sappiamo qualcosa di più sulla preoccupante operazione di spionaggio attribuita da Microsoft a un gruppo di hacker cinesi, chiamato Storm-0558. All’inizio di luglio, l’editore americano ha denunciato una sofisticata campagna malevola durata circa un mese, dal 15 maggio al 16 giugno.
Gli hacker sono riusciti ad accedere agli account di posta elettronica di 25 organizzazioni utilizzando token di autenticazione, senza bisogno di rubare le password di posta elettronica. Secondo la stampa americana, tra gli obiettivi c’erano il Segretario al Commercio degli Stati Uniti, Gina Raimondo, e l’ambasciatore degli Stati Uniti in Cina, Nicholas Burns.
Si attendono spiegazioni
Questo hack di alto profilo, che ha preso di mira personalità sensibili, ha sollevato interrogativi sulla sicurezza del servizio di posta elettronica dell’azienda. Gli hacker erano riusciti a mettere le mani su una Microsoft Public Key (MSA), la prima chiave che apriva altre porte. Le tanto attese spiegazioni dell’azienda di Redmond sono state finalmente svelate il 6 settembre.
Secondo gli esperti di Microsoft, la campagna di spionaggio è stata il risultato di diversi eventi separati. In assenza di prove precise, l’azienda ritiene che questa sia la sequenza più probabile. Tutto è iniziato nell’aprile 2021, con il crash di un sistema di firma troppo loquace. Secondo Microsoft, il crash dump contiene la chiave di firma che è stata rubata dopo l’incidente, anche se non dovrebbe.
L’hacking nell’account di un ingegnere
Allo stesso tempo, gli hacker di Storm-0558 sono riusciti – i dettagli precisi non sono noti – a compromettere l’account di un ingegnere Microsoft. Questo ingegnere ha avuto accesso all’ambiente di debug e al report del memory dump successivo all’incidente, che ha registrato erroneamente la chiave di firma.
Questa chiave di firma ha poi permesso agli aggressori – non è noto se avessero individuato il problema o se vi fossero incappati durante l’esplorazione dell’account dell’ingegnere – di ottenere in modo fraudolento i token di autenticazione per accedere agli account di posta elettronica Outlook e ai servizi cloud Azur. Microsoft sostiene ora di aver corretto le vulnerabilità sfruttate dagli hacker.
