We dwóch blog posty opublikowany we wtorek Microsoft ujawnił, że chińska grupa hakerska — którą firma określa jako „Storm-0558” — zamierza „uzyskać dostęp do systemów poczty e-mail w celu zbierania danych wywiadowczych”. Stwierdzono, że grupa skoncentrowana na szpiegostwie włamała się na niezidentyfikowaną liczbę kont e-mail powiązanych z około 25 organizacjami, w tym z niektórymi powiązanymi indywidualnymi kontami konsumenckimi i agencjami rządowymi w Europie Zachodniej i USA.
Według Washington Post, to rząd Stanów Zjednoczonych powiadomił firmę Microsoft o exploicie. „Urzędnicy natychmiast skontaktowali się z Microsoftem, aby znaleźć źródło i lukę w ich usłudze chmurowej” – powiedział rzecznik Rady Bezpieczeństwa Narodowego Adam Hodges. „Nadal utrzymujemy dostawców zamówień rządu USA na wysokim progu bezpieczeństwa”.
Grupa używała sfałszowanych tokenów uwierzytelniających, aby uzyskiwać dostęp do kont e-mail, których dotyczy problem, za pośrednictwem Outlook Web Access w Exchange Online (OWA) i Outlook.com od 15 maja, pozostając niewykryta przez miesiąc, aż Microsoft rozpoczął dochodzenie 16 czerwca po „informacjach zgłoszonych przez klientów”.
Atak najwyraźniej nie naruszył wiadomości e-mail związanych z Pentagonem, wojskiem i społecznością wywiadowczą
Hack wpłynął na niesklasyfikowane systemy i nie wydaje się, aby naruszył konta e-mail powiązane z Pentagonem, wojskiem lub społecznością wywiadowczą, zgodnie z Washington Postźródła.
Firma Microsoft skontaktowała się i wdrożyła środki zaradcze dla wszystkich klientów, których dotyczyło naruszenie bezpieczeństwa. Gigant technologiczny powiedział, że wzmocnił swoją obronę, dodając „istotne automatyczne wykrywanie” do oznaczania aktywności związanej z atakiem, a teraz współpracuje z agencją cyberobrony Departamentu Bezpieczeństwa Wewnętrznego w celu ochrony dotkniętych użytkowników. Pozostałe organizacje i agencje rządowe, które zostały naruszone przez hakerów, nie zostały ujawnione.
Podobno za cyberatakiem stali hakerzy powiązani z państwem chińskim atakując rekordy poświadczeń bezpieczeństwa rządu USA w 2015 r które dotknęły 21,5 miliona ludzi. Powiązany z Rosją Włamanie do SolarWinds Uważa się, że ujawnienie sieci rządowych i korporacyjnych za pośrednictwem zainfekowanego komputera pracownika firmy Microsoft w 2020 r. miało również wpływ na 18 000 klientów SolarWinds. Oprogramowanie SolarWinds zostało ponownie zaatakowane w 2021 roku przez chińską grupę hakerów z domniemanym celem uzyskania dostępu do informacji związanych z amerykańskim przemysłem obronnym.
