Microsoft Breach Exposed 60,000 State Department Emails
2023/09/29 InfoSecurity — Microsoft Outlook のアカウントを標的とした、中国の狡猾なサイバースパイ・キャンペーンにより、北京政府は数万通の米国政府の個人メールにアクセスすることができたと、あるレポートが報じている。Storm-0558 グループは、国務省の 10件のアカウントから、60,000 通の電子メールを盗み出したという。そのうちの9件のアカウントは、東アジア/太平洋の外交に携わる個人が使用していたものだと、上院スタッフが Reuters に語った。
10月4日 (水) の国務省の会見によると、同省内の職員がアクセスする、すべての電子メール・アカウントを含むリストも、このハッカーたちは入手できたという
上院議員であるは Eric Schmitt が Reuters に送った電子メール声明には「連邦政府が単一のベンダーに依存していることが、潜在的な弱点である。したがって、我々は厳しい目を向ける必要がある」と記されている。
このキャンペーンの詳細が、ここ数カ月の間に、徐々に明らかになってきた。
2023年7月に Microsoft は、中国によるサイバースパイ・キャンペーンにより、米国政府を含む少なくとも 25の組織が危険にさらされたことを明らかにした。同社によると、脅威アクターたちは認証トークンを偽造することで、Exchange Online (OWA) の Outlook Web Access/Outlook.com 経由で、顧客の電子メール・アカウントにアクセスしたという。
この脅威アクターは、取得した Microsoft アカウントの MSA キーを悪用して、OWA と Outlook.com にアクセスするトークンを偽造した。さらに、トークン検証の問題を悪用して Azure AD ユーザーになりすまし、企業メールにアクセスしたと、Microsoft は指摘している。
9月の初めに明らかになったのは、この脅威アクターが Microsoft のエンジニアのアカウントに侵入した後に、実際に署名キーを入手していたことである。話は 2021年4月に遡るが、あるシステムのクラッシュにより、クラッシュ・ダンプに流出した署名キーにより、上記のエンジニアのアカウントを介した不正アクセスが可能になっていた。
その後に明らかになったのは、Storm-0558 が GetAccessTokenForResourceAPI のゼロデイ検証問題を悪用し、署名済みのアクセス・トークンを偽造し、国務省などの標的組織のアカウントになりすましていたことである。
この件の TTP については、2023/09/06 の「中国のハッカー Storm-0558:Windows クラッシュダンプから署名キーを窃取と判明」で詳しく解説されていますので、よろしければ、ご参照ください。クラッシュダンプから署名キーを抜き出すという、一般的な常識を超える発想力を、この Storm-0558 は持っているようです。感心してはいけませんが、感心してしまいます。
IoT OT Security News 
You must be logged in to post a comment.