Китайські хакери ще 2021 року викрали цифровий ключ, що дав змогу отримати доступ до електронних скриньок пошти уряду США. Тепер Microsoft пояснила, як це відбулося.
Ще в липні Microsoft оприлюднила інформацію про те, що хакери під назвою Storm-0558, яких на їхню думку підтримує Китай, отримали ключ підпису електронної пошти. Його Microsoft використовує для захисту облікових записів електронної пошти споживачів, наприклад в сервісі Outlook.com.
Хакери використовували цей цифровий ключ, щоб зламати особисті та корпоративні облікові записи електронної пошти урядовців, розміщені на серверах Microsoft. Злам розглядається як цілеспрямована шпигунська кампанія, спрямована на стеження за несекретними електронними листами урядовців і дипломатів США, включаючи міністра торгівлі США Джину Раймондо та посла США в Китаї Ніколаса Бернса.
Раніше спосіб отримання ключа був загадкою. Зараз Microsoft назвала п’ять окремих проблем, збіг яких призвів до діри в безпеці.
У квітні 2021 року стався збій у системі, що використовується в процесі підписання ключів споживачами. Під час крашу було зроблено знімок системи для подальшого аналізу. Ця система підпису ключів споживачів знаходиться у «високоізольованому та обмеженому» середовищі, де доступ до інтернету заблоковано для захисту від низки кібератак. Знімок випадково містив копію ключа підпису споживача 1️⃣, але системи Microsoft не змогли виявити цей ключ на знімку 2️⃣.
Зроблений знімок був «згодом перенесений з ізольованої виробничої мережі в наше налагоджувальне середовище в корпоративній мережі, підключеній до Інтернету», щоб зрозуміти, чому система вийшла з ладу. Microsoft заявила, що це відповідає стандартному процесу налагодження, але методи сканування облікових даних компанії не виявили присутності ключа на знімку 3️⃣.
Після того, як знімок був перенесений в корпоративну мережу Microsoft у квітні 2021 року, Microsoft заявила, що хакери Storm-0558 змогли «успішно скомпрометувати» корпоративний обліковий запис інженера Microsoft, який мав доступ до середовища, де зберігався знімок із ключем підпису споживача. Microsoft заявила, що не може бути повністю впевненою в тому, що ключ був викрадений саме таким чином, оскільки «у нас немає журналів з конкретними доказами цього проникнення», але зазначила, що це був «найбільш вірогідний механізм».
Щодо того, як ключ підпису споживача надавав доступ до корпоративних електронних поштових скриньок кількох організацій та урядових відомств, Microsoft заявила, що її системи електронної пошти не виконували автоматичну або належну перевірку ключів 4️⃣, що означало, що система електронної пошти Microsoft «приймала запит на корпоративну електронну пошту, використовуючи маркер безпеки, підписаний ключем споживача»5️⃣.
Google вимкне інтернет частині співробітників — новий експеримент зі зменшення ризику кібератак