Egy kínai hackercsoport világszerte több mint két tucat amerikai és nyugat-európai kormányzati szerv e-mailrendszerébe jutott be. A támadásokat, melyeket a Microsoft azonosított, egy Storm-0558 néven ismert kínai csoporthoz kötik. Ezt olyan kiberkém szervezetként tartják nyilván, amely kifejezetten e-mailrendszereket támad, hogy azokból érzékeny információkat gyűjtsön.

A Microsoft június közepén figyelt fel a támadásokra, illetve kezdett vizsgálódni, miután több ügyfele is szokatlan levelezési tevékenységről tett bejelentést. A vizsgálat szerint a Storm-0558 hekkerei május 15-től kezdődően mintegy 25 kormányzati szervezet Outlook-rendszeréhez férhetett hozzá, valamint feltörhették néhány, a szervezetekhez valamilyen módon kapcsolódó ember személyes fiókját is. A Microsoft bejegyzésében nem nevezte meg sem a szervezeteket, sem az érintett országokat.

A Reuters a The Washington Postra hivatkozva azt írja, hogy az amerikai külügyminisztérium és a kereskedelmi minisztérium is érintett. A támadásnak azonban egyetlen olyan érintettje van, aki tagja a Biden-kormánynak: Gina Raimondo kereskedelmi miniszter e-mailfiókjában szintén járhattak a kiberkémek, aki egyébként a támadás megindítása után, május utolsó hetében tárgyalt kínai kollégájával.

Elvileg nem került ki minősített információ

A támadáshoz a hekkerek egy lopott Microsoft-fiók (MSA) aláírási kulcsa segítségével létrehozott hamis hitelesítési tokeneket használtak. Ezek segítségével fértek hozzá az Exchange Online-on és az Outlook Web Accessen keresztül a levelekhez. Az MSA konzumer kulcsait és az Azure AD kulcsokat külön rendszerek adják ki és kezelik, és mindegyik csak a saját rendszerében érvényes. A támadók azonban találtak egy olyan hibát a tokenek érvényesítési folyamatában, amit kiaknázva az MSA kulcsával is Azure AD-felhasználóknak adhatták ki magukat, így hozzáfértek a vállalati levelezéshez. A hiba javítása után megszűntek a jogosulatlan hozzáférések, állítja a Microsoft.

Azt, hogy valami nem stimmel a Microsoft felhőalapú e-mailszolgáltatásával, és jogosulatlanok is hozzférhetnek kormányzati szervek levelezéséhez, az amerikai kormány illetékesei szintén jelezték a vállalatnak júniusban, írja a BleepingComputer. A lap felidézi: erről a Nemzetbiztonsági Tanács szóvivője, Adam Hodge beszélt a CNN-nek. A szóvivő azonban hangsúlyozta: a támadás csak nem minősített rendszereket érintett.

A Reutersnek név nélkül nyilatkozó kormányzati forrás nem kívánta kommentálni a Microsoft azon gyanúját, hogy a támadás mögött kínaiak állhatnak – a kínaiak pedig kategorikusan tagadják, hogy közük lenne a támadáshoz.

Magyarország neve nem merült fel

A híradásokban nem merült fel, hogy konkrétan ez támadás érintett volna magyar kormányzati szerveket. Ugyanakkor a lehetőség fennáll. Július első hetében a Nemzeti Kibervédelmi Intézet is közzétette – a BleepingComputerre hivatkozva –, hogy "egy kínai kártékony aktornak tulajdonított adathalászkampány 2022 decembere óta az Egyesült Királyság, Franciaország, Svédország, Ukrajna, Csehország, Magyarország és Szlovákia nagykövetségeit és külügyminisztériumait veszi célba. A biztonsági kutatók „SmugX” névre keresztelték a kampányt."