Microsoft deve affrontare un nuovo controllo dopo che gli hacker cinesi si sono infiltrati nel governo degli Stati Uniti tramite Exchange Online
Secondo quanto riferito, un'agenzia governativa statunitense ha rilevato i primi segni di un'intrusione da parte di un gruppo di hacker cinese utilizzando una funzionalità premium non disponibile per i clienti nelle versioni di Microsoft 365 a basso prezzo.
L'incidente di alto profilo sta sollevando nuove domande non solo sulla sicurezza delle piattaforme online di Microsoft per aziende e governi, ma anche sui modi in cui l'azienda genera entrate dalle funzionalità di sicurezza.
Un'agenzia del Federal Civilian Executive Branch ha scoperto l'hack dopo aver rilevato attività insolite in un tipo di registro di controllo disponibile per i clienti aziendali e governativi solo nel livello più avanzato di Microsoft 365.
"Ogni organizzazione che utilizza un servizio tecnologico come Microsoft 365 dovrebbe avere accesso alla registrazione e ad altri dati di sicurezza pronti all'uso per rilevare ragionevolmente attività informatiche dannose", ha affermato un alto funzionario della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti in una conferenza stampa , ha riportato il Wall Street Journal.
Il CEO di Microsoft Satya Nadella ha dichiarato a gennaio che le entrate della sicurezza hanno superato i $ 20 miliardi all'anno (rispetto ai $ 15 miliardi dell'anno precedente), ovvero circa il 10% dei $ 204 miliardi di entrate di Microsoft nell'anno solare 2022.
Gli hacker hanno falsificato i token di autenticazione per ottenere l'accesso agli account Microsoft Exchange Online, come dettagliato in questo post CISA.
L'account di posta elettronica del segretario al commercio degli Stati Uniti Gina Raimondo era tra quelli infiltrati, secondo il Washington Post.
Funzionari governativi affermano di non ritenere che sia stato effettuato l'accesso a sistemi classificati.
"Stiamo monitorando i nostri sistemi e risponderemo prontamente qualora venisse rilevata un'ulteriore attività", ha affermato il Dipartimento del Commercio in una dichiarazione inviata via e-mail.
"Il Dipartimento mantiene solide protezioni di sicurezza informatica, che aggiorniamo per affrontare un panorama di sicurezza informatica in rapida evoluzione".
Un dirigente di Google, l'arcirivale di Microsoft nel software di produttività basato su cloud, ha invitato il governo degli Stati Uniti a ripensare il suo approccio.
“La sicurezza è uno sport di squadra, ma è difficile difendersi quando solo una squadra si arrende.
La "monocultura" nel software di produttività del governo crea una facile superficie di attacco.
Spero che quest'ultimo di una serie di incidenti spinga il governo degli Stati Uniti a cercare alternative ", ha scritto su Twitter Amit Zavery, Google Cloud VP, GM e capo della piattaforma.
Gli hacker, che Microsoft ha soprannominato "Storm-0558", hanno utilizzato una chiave dell'account utente Microsoft "acquisita" per falsificare token digitali che davano loro accesso agli account e-mail di "circa 25 organizzazioni, tra cui agenzie governative e relativi account utente di individui probabilmente associato a queste organizzazioni", ha affermato Microsoft in un post all'inizio di questa settimana.
Microsoft afferma che la vulnerabilità che consentiva di utilizzare i token contraffatti per accedere agli account di posta elettronica è stata corretta.
La società non ha ancora spiegato come la chiave dell'account del consumatore utilizzata per creare i token sia stata acquisita dal gruppo di hacker.
GeekWire ha chiesto a Microsoft di commentare questo problema.
"La responsabilità inizia proprio qui in Microsoft", ha scritto Charlie Bell, vicepresidente esecutivo di Microsoft per la sicurezza, in un post all'inizio di questa settimana.
“Rimaniamo fermi nel nostro impegno per mantenere i nostri clienti al sicuro.
Effettuiamo continue autovalutazioni, impariamo dagli incidenti e rafforziamo le nostre piattaforme di identità/accesso per gestire i rischi in evoluzione relativi a chiavi e token".