7. září (UPI) — Společnost Microsoft zveřejnila výsledky interního vyšetřování podrobně popisujících, jak podezřelý čínský hacker narušil e-mailové účty vládních agentur ve Spojených státech a Evropě více než dva roky, než bylo v červnu odhaleno.
Zpráva zveřejněná ve středu uvádí, že kyberzločinec se sídlem v Číně, známý jako Storm-0558, poprvé získal přístup k e-mailům vysokých úředníků společnosti Microsoft v dubnu 2021.
V prohlášení globální technologický gigant uvedl, že dokončil důkladné technické vyšetřování, které zjistilo, že hacker použil zákaznický klíč z legitimního účtu Microsoft k padělání bezpečnostních tokenů umožňujících zadní vrátka přístupu k Outlook.com.
Narušení, o kterém poprvé informoval Wall Street Journal v červenci, objevili techničtí pracovníci ministerstva zahraničí 16. června poté, co se devět amerických organizací a agentur a více než dvě desítky globálních subjektů staly terčem zjevných nedostatků v cloudovém bezpečnostním systému Microsoftu. .
Vyšetřování od té doby zjistilo, že podezřelá aktivita hackera se datuje do dubna 2021, kdy zjevná chyba způsobila zhroucení e-mailového systému Microsoftu, což vedlo k vyčištění dat, která nevysvětlitelně obsahovala přístupový klíč k e-mailu.
V té době systém neupozornil IT na problém, jak měl, a chyba zůstala nepovšimnuta až do doby před pouhými dvěma měsíci.
Během čistky Storm-0558 objevil přístupový klíč a použil jej k nabourání se do neutajovaných e-mailových účtů mnoha vysokých úředníků, včetně ministryně obchodu Giny Raimondové, amerického velvyslance v Číně Nicholase Burnse a náměstka ministra zahraničí pro východní Asii. Daniel Kritenbrink, stejně jako množství výzkumných ústavů a správních úředníků po celé zemi.
Microsoft ve středu uvedl, že zveřejnil výsledky průzkumu „jako součást našeho závazku k transparentnosti a důvěře“ a dodal, že společnost pracuje na posílení svých bezpečnostních protokolů.
Společnost uvedla, že od narušení zavedla přísnější interní kontroly, včetně prověrek zaměstnanců, skenování přihlašovacích údajů, vyhrazených cloudových serverů, bezpečných desktopů, šifrování dat a vícefaktorové autentizace při přihlášení zaměstnanců.
Microsoft uvedl, že podniká další kroky k omezení přístupu k některým ze svých nejcitlivějších interních dat a k zákazu zaměstnanců používat nástroje pro online spolupráci, které by mohly společnost vystavit malwaru a phishingu.
„Z tohoto důvodu – jako věc politiky a jako součást naší mentality nulové důvěry a ‚předpokládejme porušení‘ – by klíčová aktiva neměla opustit naše produkční prostředí,“ řekl Microsoft s odkazem na e-mailové nástroje z konferenčních a webových průzkumů, které byly použity. dříve zaměstnanci na podnikové úrovni. „Ačkoli jsou tyto nástroje důležité, zároveň nechají uživatele zranitelné vůči spear phishingu, malwaru kradoucímu tokeny a dalším vektorům kompromitace účtu.“
Na začátku vyšetřování Microsoft uvedl, že si není jistý rozsahem narušení, ale ve středu společnost prohlásila, že je přesvědčena, že se dostala k jádru problému a že technický personál nasazuje několik nových softwarových záplat. k odladění systému.
„Microsoft neustále posiluje své systémy jako součást své strategie hloubkové obrany,“ stojí v prohlášení.
Společnost uvedla, že opravila problém, který umožňoval, aby byl spotřebitelský podpisový klíč přítomen během čištění dat v roce 2021. Technici také vylepšili interní nástroje, které by zabránily smetení citlivých materiálů při budoucích náhodných vybitích.