Китайские хакеры еще в 2021 году похитили цифровой ключ, позволивший получить доступ к электронным ящикам почты правительства США. Теперь Microsoft объяснила, как это произошло.
Еще в июле Microsoft обнародовала информацию о том, что хакеры под названием Storm-0558, которых по их мнению поддерживает Китай, получили ключ подписи электронной почты. Его Microsoft использует для защиты учетных записей электронной почты потребителей, например в сервисе Outlook.com.
Хакеры использовали этот цифровой ключ, чтобы взломать личные и корпоративные учетные записи электронной почты правительственных чиновников, размещенные на серверах Microsoft. Взлом рассматривается как целенаправленная шпионская кампания, направленная на слежку за несекретными электронными письмами правительственных чиновников и дипломатов США, включая министра торговли США Джину Раймондо и посла США в Китае Николаса Бернса.
Ранее способ получения ключа был загадкой. Сейчас Microsoft назвала пять отдельных проблем, совпадение которых привело к дыре в безопасности.
В апреле 2021 года произошел сбой в системе, используемой в процессе подписания ключей потребителями. Во время краша был сделан снимок системы для дальнейшего анализа. Эта система подписи ключей потребителей находится в «высокоизолированной и ограниченной» среде, где доступ к интернету заблокирован для защиты от ряда кибератак. Снимок случайно содержал копию ключа подписи потребителя1️⃣, но системы Microsoft не смогли обнаружить этот ключ на снимке2️⃣.
Сделанный снимок был «впоследствии перенесен из изолированной производственной сети в нашу отладочную среду в корпоративной сети, подключенной к Интернету», чтобы понять, почему система вышла из строя. Microsoft заявила, что это соответствует стандартному процессу отладки, но методы сканирования учетных данных компании не обнаружили присутствия ключа на снимке3️⃣.
После того как снимок был перенесен в корпоративную сеть Microsoft в апреле 2021 года, Microsoft заявила, что хакеры Storm-0558 смогли «успешно скомпрометировать» корпоративную учетную запись инженера Microsoft, который имел доступ к среде, где хранился снимок с ключом подписи потребителя. Microsoft заявила, что не может быть полностью уверенной в том, что ключ был похищен именно таким образом, поскольку «у нас нет журналов с конкретными доказательствами этого проникновения», но отметила, что «наиболее вероятный механизм» таков.
Относительно того, как ключ подписи потребителя предоставлял доступ к корпоративным электронным почтовым ящикам нескольких организаций и правительственных ведомств, Microsoft заявила, что ее системы электронной почты не выполняли автоматическую или надлежащую проверку ключей 4️⃣, что означало, что система электронной почты Microsoft «принимала запрос на корпоративную электронную почту, используя токен безопасности, подписанный ключом потребителя»5️⃣.