Microsoft va anunciar que recentment va bloquejar un grup de pirates informàtics, que va denominar Storm-0558, que van accedir a comptes de correu electrònic pertanyents a unes 25 organitzacions, incloses agències governamentals.
Com els pirates informàtics van obtenir accés als comptes de correu electrònic
En a entrada al blogMicrosoft va dir que va començar a investigar l’activitat anormal en alguns comptes de correu electrònic el 16 de juny després de ser notificat pels clients.
La seva investigació va revelar aquest començament 15 de maigel grup de pirateria va explotar una vulnerabilitat per forjar testimonis d’autenticació i accedir als comptes de Microsoft 365 de les organitzacions.
Mitjançant una clau de signatura de comptes de consumidor de Microsoft compromesa, els pirates informàtics podrien suplantar la identitat dels usuaris i accedir als comptes de correu electrònic mitjançant serveis com Outlook Web Access i Outlook.com.
Segons una recent articulació assessorament de l’Agència de Ciberseguretat i Seguretat de la Infraestructura (CISA) i l’FBI, l’agència federal va observar activitat sospitosa als seus registres de Microsoft 365.
Això va portar al descobriment que els actors avançats d’amenaces persistents havien accedit i extret dades d’alguns comptes d’Outlook d’Exchange Online.
Què és Storm-0558?
Segons Microsoft perfil d’actor de Storm-0558, la descripció del grup és la següent:
Storm-0558 (DEV-0558) és un grup d’activitats d’estat-nació amb seu a la Xina. Es centren en l’espionatge, el robatori de dades i l’accés a credencials. També se sap que utilitzen programari maliciós personalitzat que Microsoft rastreja com Cigril i Bling, per accedir a les credencials.
Com es va resoldre el problema
CISA i l’FBI van aconsellar a les organitzacions que utilitzen Exchange Online per implementar un seguiment i un registre millorats per detectar atacs similars.
Les seves recomanacions inclouen habilitar funcions avançades de registre d’auditoria i obtenir visibilitat sobre els patrons estàndard de trànsit al núvol.
Microsoft afirma que ha resolt completament el problema i ha bloquejat l’accés dels pirates informàtics. Està treballant amb els clients afectats i els ha notificat abans de la seva divulgació pública.
La companyia va dir que no havia trobat cap evidència que els pirates informàtics romanguessin en cap sistema corporatiu.
Mitigació de futurs ciberatacs
Aquesta darrera activitat arriba quan els ciberatacs continuen augmentant contra organitzacions d’arreu del món.
El senador dels Estats Units Mark R. Warner, president del Comitè Selecte d’Intel·ligència del Senat, va expressar la seva preocupació pels informes de l’últim ciberatac i el que es necessitaria per prevenir incidents futurs.
“El Comitè d’Intel·ligència del Senat està supervisant de prop el que sembla ser una violació important de la ciberseguretat per part de la intel·ligència xinesa. Està clar que la RPC està millorant constantment les seves capacitats de recollida cibernètica dirigides contra els EUA i els nostres aliats. Una estreta coordinació entre el govern dels EUA i el sector privat serà fonamental per contrarestar aquesta amenaça”.
Microsoft té previst seguir millorant seguretat al voltant de les claus i fitxes del compte per mantenir-se al davant dels riscos cibernètics en evolució.
Va posar èmfasi en la necessitat de col·laboració i transparència contínues per reforçar les defenses de la indústria tecnològica contra les campanyes sofisticades de pirateria informàtica.
Imatge destacada: Koshiro K/Shutterstock
