Non è stata certo una casualità. Il fattaccio è il risultato di una sofisticata campagna cinese di cyber-spionaggio mirata ad aggredire specifici account Microsoft Outlook che ha consentito a Pechino di accedere a decine di migliaia di e-mail private del governo statunitense.
A fare il consistente colpo è il gruppo di pirati informatici che va sotto il nome di “Storm-0558” che è stato capace di sgraffignare 60.000 e-mail da 10 account del Dipartimento di Stato, nove dei quali sono stati utilizzati da individui che lavoravano nella diplomazia dell’Asia orientale e del Pacifico.
Gli hacker sarebbero anche riusciti a impossessarsi di un elenco contenente tutti gli account di posta elettronica del dipartimento e questa ulteriore circostanza spiega la pericolosità dell’accaduto.
Il senatore USA Eric Schmitt in una dichiarazione inviata via email a Reuters ha dichiarato in maniera seccata che il punto debole è nella dipendenza del governo federale da un unico fornitore.
I dettagli di questa sotterranea infiltrazione nei sistemi di posta elettronica sono emersi gradualmente nel corso degli ultimi mesi.
Non dimentichiamo che a luglio Microsoft ha rivelato che una manovra cinese di spionaggio informatico aveva compromesso almeno 25 organizzazioni, includendo qui il Governo degli Stati Uniti. Il colosso capitanato da Bill Gates ha reso noto che gli autori di queste azioni avrebbero ottenuto l’accesso agli account di posta elettronica dei clienti tramite Outlook Web Access in Exchange Online (OWA) e Outlook.com falsificando token di autenticazione.
All’inizio di questo mese è emerso che gli autori della minaccia avevano effettivamente ottenuto la chiave di firma dopo aver violato l’account di un ingegnere Microsoft e avrebbero sfruttato un problema di convalida dei token per impersonare gli utenti di Azure AD e ottenere l’accesso alla posta aziendale.
E’ bene ricordare che nell’aprile 2021 si era verificato uno “sfortunato evento”, come venne definito dagli investigatori interni del gigante mondiale del software. E che sarebbe mai capitato? Incredibilmente un arresto anomalo del sistema ha comportato la perdita della chiave in un crash dump di dati a cui è stato successivamente possibile accedere tramite l’account dell’ingegnere…
Secondo quel che è dato sapere, la temibile formazione di pirati etichettati come “Storm-0558” in questa recente brutta storia aveva sfruttato un problema di convalida zero-day nell’API GetAccessTokenForResourceAPI, consentendogli di falsificare token di accesso firmati e impersonare account all’interno del Dipartimento di Stato e di altre organizzazioni prese di mira…
