Un gruppo hacker, presumibilmente collegato al governo cinese, è stato in grado di compromettere i server di posta Microsoft di diverse organizzazioni governative, nonché gli account personali di posta degli utenti Outlook collegati a queste organizzazioni. Gli hacker hanno avuto accesso ai server perché sono stati in grado di generare token di autenticazione validi per i sistemi Microsoft.
La violazione dei sistemi di posta, secondo Microsoft, ha colpito 25 organizzazioni ed è iniziata il 15 maggio. Un mese dopo, una delle organizzazioni coinvolte ha segnalato un comportamento anomalo dei propri sistemi di posta a Microsoft. Dopo le indagini, Microsoft ha intrapreso misure per mitigare e risolvere la violazione.
Microsoft attribuisce l’attacco al gruppo cinese Storm-0558, un gruppo di minaccia che si concentra principalmente sullo spionaggio. L’azienda afferma che il gruppo è tecnicamente molto preparato e mira principalmente a organizzazioni diplomatiche, economiche e governative negli Stati Uniti e in Europa. Storm-0558 cerca di ottenere accesso ai sistemi di posta delle vittime in vari modi.
Microsoft ha familiarità con Storm-0558 e il suo modus operandi da diversi anni, poiché il gruppo ha tentato di violare i sistemi di posta di Microsoft per molti anni. Questa volta, il gruppo è riuscito sfruttando una sequenza di coincidenze sfortunate e falle nelle procedure di sviluppo e debug dei sistemi di posta di Microsoft.
Nell’aprile 2021, si è verificato un guasto nei sistemi per la gestione delle chiavi di identificazione delle piattaforme consumer di email. Durante questo incidente, una chiave per la generazione dei token di autenticazione per i sistemi di posta è stata inclusa in un file di debug. Storm-0558 è riuscito a ottenere acceso a questa chiave e ha potuto generare token validi per l’accesso a Outlook.com.
Il danno maggiore è derivato dal fatto che i sistemi di posta aziendale Microsoft possono accettare sia token consumer che token aziendali. A causa di una mancanza di controllo, un token consumer valido è stato sufficiente per ottenere accesso anche agli account enterprise tramite l’interfaccia web Outlook Web Access (OWA).
Questi errori sono stati risolti e le intrusioni di Storm-0558 sono state bloccate. Microsoft ha segnalato l’attività del gruppo alle autorità competenti degli Stati Uniti e alle aziende e individui coinvolti.