A maggio 2023 la posta elettronica di alcuni funzionari governativi americani ed europei è stata attaccata e sono stati rubati dati sensibili grazie all'uso di token di autenticazione contraffatti. Secondo Microsoft, la responsabile è la Cina.
I dettagli nel mio articolo per Cybersecurity360
Violate e-mail di funzionari USA e UE: dinamiche dell’attacco
L’attacco cyber contro gli enti governativi americani non è stato strutturato secondo uno schema particolare e il fattore scatenante è stata l’ondata di sanzioni nei confronti dei produttori di semiconduttori e delle aziende chimiche coinvolte nella produzione di fentanil. L'attacco è stato rilevato solo a metà giugno quando ne è rimasto vittima il Dipartimento di Stato. È subito intervenuto il team di Microsoft e sono stati avvisati tutti gli altri dipartimenti e le altre organizzazioni colpite, anche se per notare l’attacco è stata necessaria una funzione di data-logging avanzata che è solo all’interno dell’abbonamento premium di Microsoft, non disponibile per tutte le agenzie federali. Gli hacker hanno utilizzato la chiave di firma del consumatore dell’account Microsoft (MSA) che ha permesso di falsificare i token di autenticazione per specifici account governativi da colpire.
Joseph Carson, Chief Security Scientist e Advisory CISO di Delinea, in risposta agli eventi sostiene che “Microsoft è diventata davvero uno dei principali fornitori di sicurezza al mondo e ha agito rapidamente per fermare gli aggressori prima che potessero essere causati danni gravi. È bello vedere che l’organizzazione si è assunta la responsabilità e la trasparenza dell’incidente per garantire che i professionisti della sicurezza siano consapevoli e pronti a rispondere quando necessario”.
E ha aggiunto che “il promemoria è che bisogna sempre presumere che ci sia una violazione e che un aggressore possa essere attivo sulla vostra rete e sulle vostre risorse. Pertanto, raccomandiamo alle organizzazioni di verificare periodicamente la presenza di attività anomale di credenziali e identità sulle loro reti, di modificare periodicamente le credenziali e di implementare forti controlli di sicurezza sull’accesso privilegiato che impediscano spostamenti laterali”.
Chi c’è dietro l’attacco
Secondo Microsoft, l’attacco è stato realizzato dal gruppo hacker “Storm-0558”, già da tempo attivo in Europa occidentale, per affinità di metodi e mezzi utilizzati con il noto gruppo cinese, Zirconium, sponsorizzato dallo Stato.
Il suo modus operandi è molto simile a quello utilizzato da maggio: indirizzi di posta elettronica aziendali o governativi di alto spessore, phishing e contraffazione dei token.
Equilibri sempre più precari
Questo attacco sembra non far altro che minare ulteriormente i rapporti tra Cina e USA, che da tempo si accusano e provocano a vicenda, come è accaduto, per esempio, con le esercitazioni militari sia americane che cinesi. È necessario, quindi, definire un codice di condotta che possa evitare una guerra e stabilire protocolli di comportamento e linee guida.
Fonte: Cybersecurity360