Forrás: SG.hu | 2023.07.14.

Kínai államhoz köthető hackerek május óta titokban hozzáfértek mintegy 25 szervezet, köztük legalább két amerikai kormányzati ügynökség e-mail fiókjaihoz - közölte a Microsoft. A hackerek elloptak egy kriptográfiai kulcsot, amellyel meghamisíthatták a felhasználók személyazonosságát és átcsúszhattak a védelmi rendszereken.

A Microsoft közleményében azt írta, hogy a hackercsoport - amelyet Storm-0558-nak nevezett el - digitális hitelesítési tokeneket hamisított, hogy hozzáférjen a cég Outlook szolgáltatásán futó webmail-fiókokhoz. A tevékenység májusban kezdődött. "Mint minden megfigyelt nemzetállami szereplői tevékenység esetében, a Microsoft minden megcélzott vagy veszélyeztetett szervezettel közvetlenül a bérlő rendszergazdáin keresztül vette fel a kapcsolatot, és fontos információkkal látta el őket a vizsgálat és a válaszadás megkönnyítése érdekében" - tette hozzá a vállalat.

A Microsoft nem közölte, hogy mely szervezetek vagy kormányok voltak érintettek, de hozzátette, hogy az érintett hackercsoport elsősorban nyugat-európai szervezeteket vesz célba. Az amerikai külügyminisztérium és a kereskedelmi minisztérium azonban nyilatkozatban elismerte, hogy az érintettek között voltak. "Az Egyesült Államok "meglehetősen gyorsan" észlelte a szövetségi kormányzati fiókok megsértését, és sikerült megakadályozni a további betöréseket" - mondta Jake Sullivan, a Fehér Ház nemzetbiztonsági tanácsadója. Gina Raimondo kereskedelmi miniszter és a külügyminisztérium tisztviselőinek e-mail fiókjait is feltörték - jelentette a The Washington Post.

Kína londoni nagykövetsége "dezinformációnak" nevezte a vádat, az amerikai kormányt pedig "a világ legnagyobb hackerbirodalmának és globális kibertolvajának" nevezte. Kína rutinszerűen tagadja a hackerműveletekben való részvételt, függetlenül a rendelkezésre álló bizonyítékoktól vagy a kontextustól. A Fehér Ház Nemzetbiztonsági Tanácsának szóvivője, Adam Hodge azt mondta, hogy a Microsoft felhőbiztonsági rendszerébe történt behatolás "nem minősített rendszereket érintett", anélkül, hogy részletezte volna. "A tisztviselők azonnal kapcsolatba léptek a Microsofttal, hogy megtalálják a forrást és a felhőszolgáltatásukban lévő sebezhetőséget" - tette hozzá Hodge.

De hogyan adhatott a felhőszolgáltatás egy hibája mesterkulcsot a kínai kémek kezébe?

A legtöbb IT-szakember számára a felhőbe való átállás isteni áldás volt. Ahelyett, hogy saját maga védené az adatait, azt inkább a Google vagy a Microsoft biztonsági szakértőire bízhatta. De amikor egyetlen ellopott kulcs segítségével a hackerek több tucatnyi szervezet felhőadataihoz férhetnek hozzá, ez a kompromisszum kezd sokkal kockázatosabbnak tűnni. Kína évtizedek óta könyörtelenül törögeti a nyugati hálózatokat, de a legutóbbi támadás egy egyedülálló trükköt alkalmazott. A Microsoft szerint a hackerek elloptak egy kriptográfiai kulcsot, amellyel saját hitelesítési "tokeneket" - a felhasználó személyazonosságának igazolására szolgáló információsorokat - tudtak létrehozni, így szabad kezet kaptak több tucat Microsoft-ügyfélfiókban. "Az útlevelekben bízunk, és valaki ellopott egy útlevélnyomtató gépet" - mondja Jake Williams, az NSA egykori hackere, aki jelenleg a bostoni Institute for Applied Network Security tanára. "Egy olyan nagy cég esetében, mint a Microsoft, ennyi érintett ügyféllel - vagy akiket ez érinthetett volna - ez példátlan."

A webalapú felhőrendszerekben a felhasználók böngészője egy távoli szerverhez csatlakozik, és amikor megadják a hitelesítő adatokat - például a felhasználónevet és a jelszót - a szerverről egy token néven ismert adatot kapnak. A token egyfajta ideiglenes személyi igazolványként szolgál, amely lehetővé teszi a felhasználók számára, hogy a felhőkörnyezetben tetszésük szerint jöjjenek és távozzanak, és csak alkalmanként adják meg újra a hitelesítő adataikat. Annak érdekében, hogy a tokent ne lehessen meghamisítani, azt kriptográfiai úton aláírják egy egyedi adatsorral, az úgynevezett tanúsítvánnyal vagy kulccsal, amely a felhőszolgáltatás birtokában van, és egyfajta hamisíthatatlan hitelességi bélyegzőként szolgál.

A Microsoft az Outlook kínaiak általi feltörését ismertető blogbejegyzésében a hitelesítési rendszer egyfajta kétlépcsős lebontását közli. Először a hackerek valahogyan képesek voltak ellopni egy olyan kulcsot, amelyet a Microsoft a felhőszolgáltatások fogyasztói szintű felhasználóinak tokenjeinek aláírására használ. Másodszor, a hackerek kihasználtak egy hibát a Microsoft token-érvényesítési rendszerében, ami lehetővé tette számukra, hogy a fogyasztói szintű tokeneket az ellopott kulccsal írják alá, majd azokat a vállalati szintű rendszerekhez való hozzáférésre használják. Mindez annak ellenére történt, hogy a Microsoft megpróbálta ellenőrizni a különböző kulcsokból származó aláírásokat a különböző minőségű tokenek esetében.

A Microsoft azt mondja, hogy mostanra letiltotta az összes olyan tokent, amelyet az ellopott kulccsal írtak alá, és a kulcsot egy újjal cserélte le, így a hackerek nem férhetnek hozzá az áldozatok rendszereihez. A vállalat hozzáteszi, hogy a lopás óta a "kulcskezelő rendszereinek" biztonságának javításán is dolgozott. Azt azonban továbbra sem tudni, hogy pontosan hogyan lehetett ellopni egy ilyen érzékeny, széles körű hozzáférést lehetővé tevő kulcsot - a vállalat ezt nyilván nem kívánja megosztani a közönséggel.