Grupo de ciberespionagem falsifica dados de autenticação para aceder a emails governamentais

A Microsoft anunciou que o grupo de ciberespionagem chinês denominado Storm-0558 foi observado a utilizar tokens de autenticação falsificados para aceder a endereços de email governamentais. Os cibercriminosos ganharam acesso às contas de cerca de 25 organizações, incluindo agencias governamentais e contas de indivíduos associados a entidades visadas. 

A tecnológica descobriu que os cibercriminosos falsificaram os tokens de autenticação através do Outlook Web Access in Exchange Online (OWA) e Outlook.com. “As chaves MSA (consumidor) e as chaves do Azure AD (corporativas) são emitidas e geridas a partir de sistemas separados e só devem ser válidas para os respetivos sistemas. O ator explorou um problema de validação do token para representar utilizadores do Azure AD e obter acesso a emails corporativos. Não temos indicações de que as chaves do Azure AD ou quaisquer outras chaves MSA foram usadas por esse ator”, explicou a Microsoft.

A Microsoft disse que o grupo Storm-0558 visa principalmente agências governamentais na Europa Ocidental, com foco em ciberespionagem, roubo de dados e acesso a credenciais. A empresa alega que tomou medidas para mitigar o ataque e que os clientes afetados foram notificados e receberam as informações necessárias para a resposta a incidentes.