.
A secretária de comércio dos EUA, Gina Raimondo, e outros funcionários do Departamento de Estado e Comércio foram supostamente entre as vítimas do ataque de um grupo baseado na China aos serviços de e-mail hospedados da Microsoft.
Os relatórios generalizados citam “funcionários não identificados” como fonte e observam que o Departamento de Estado dos EUA nega que quaisquer sistemas classificados tenham sido violados ou que quaisquer dados tenham sido roubados.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e o FBI emitiram um assessoria conjunta detalhando como uma agência do Poder Executivo Federal Civil (FCEB) foi avisada quando observou eventos MailItemsAccessed com um ClientAppID e AppID inesperados nos Logs de Auditoria do Microsoft 365 – já que o AppId normalmente não acessava itens de caixa de correio dessa maneira.
A agência FCEB relatou a atividade à Microsoft, que confirmou que os agentes de ameaças acessaram e extraíram dados não classificados do Exchange Online Outlook. A Microsoft disse que tomou conhecimento do hack em 16 de junho, mas o manteve em segredo enquanto “trabalhava com os clientes afetados e os notificava antes de divulgar mais detalhes”.
Redmond disse que o agente da ameaça operava desde 15 de maio, quando obteve acesso a dados de e-mail de cerca de 25 organizações e outras contas de consumidores associadas. A entrada foi forçada pela falsificação de tokens de autenticação de e-mail com uma chave de assinatura de consumidor adquirida de contas da Microsoft (MSA).
Microsoft, que relatado o evento na terça-feira, atribuiu os ataques a um agente de ameaças baseado na China que rastreia como Storm-0558.
“Avaliamos que esse adversário está focado em espionagem, como obter acesso a sistemas de e-mail para coleta de informações. Esse tipo de adversário motivado por espionagem busca abusar de credenciais e obter acesso a dados que residem em sistemas confidenciais”, escreveu o titã do software.
O porta-voz do Departamento de Estado dos EUA, Matthew Miller disse [VIDEO] na quarta-feira, o departamento “observou a atribuição que a Microsoft fez” – mas que a agência não faria uma atribuição pública neste momento.
A CISA disse que a Microsoft resolveu o problema bloqueando os tokens emitidos com a chave adquirida e alterando a chave. A Microsoft afirmou que concluiu a mitigação desse ataque para todos os clientes, incluindo a implementação de detecções automatizadas para indicadores conhecidos de comprometimento. Também afirmou que não há evidências de acesso ilícito adicional.
Secretário Raimundo conheceu com seu homólogo chinês, Wang Wentau, dez dias após a violação de 15 de maio para discutir relações tensas.
A China tem um interesse óbvio em ler quaisquer pensamentos que ela compartilhou por e-mail sobre essa reunião.
Na quarta-feira, o porta-voz do Ministério das Relações Exteriores da China, Wang Wenbin, usou o conferência de imprensa regular para apontar o dedo para os EUA – chamando-o de “o maior império de hackers do mundo e ladrão cibernético global”. ®
.
