Suspeita de invasão chinesa ao governo dos EUA é pior do que se pensava: pesquisadores cibernéticos

Por Ryan Morgan
26/07/2023 17:35 Atualizado: 26/07/2023 17:35

Uma recente violação de segurança cibernética dos e-mails do governo dos EUA pode ter alcançado mais do que inicialmente se pensava, de acordo com um novo relatório da empresa de segurança cibernética Wiz.inc.

No início deste mês, a Microsoft e especialistas em segurança cibernética do governo dos EUA identificaram uma violação nos sistemas de e-mail vinculados a 25 organizações, incluindo várias agências governamentais dos EUA. A Microsoft atribuiu a violação de segurança, que provavelmente ocorreu em maio, a um grupo de hackers ligado ao regime chinês chamado Storm-0558. Segundo a Microsoft, o Storm-0558 obteve uma chave de criptografia privada, conhecida como chave MSA, e a usou para forjar tokens de acesso aos serviços Outlook Web Access (OWA) e Outlook.com.

O governo dos EUA forneceu poucos detalhes sobre a extensão exata deste incidente de hacking. Relatórios indicaram que as contas de e-mail da Secretária de Comércio dos EUA, Gina Raimondo, foram afetadas, assim como as contas do Embaixador dos EUA na China, Nicholas Burns, e do Secretário Assistente de Estado para Assuntos do Leste Asiático e do Pacífico, Daniel Kritenbrink.

Em uma coletiva de imprensa em 12 de julho, funcionários da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) disseram que nenhuma informação sensível foi roubada durante o ataque.

A Microsoft avaliou que o hack só impactou seus serviços Outlook.com e Exchange Online.

Na sexta-feira, a Wiz publicou sua própria avaliação, constatando que a forma como o hack aconteceu pode indicar uma violação maior do que a Microsoft ou os funcionários do governo dos EUA admitiram até agora.

“Nossos pesquisadores concluíram que a chave MSA comprometida poderia ter permitido ao ator malicioso forjar tokens de acesso para vários tipos de aplicativos do Azure Active Directory, incluindo todos os aplicativos que suportam autenticação de conta pessoal, como SharePoint, Teams, OneDrive, aplicativos de clientes que suportam a funcionalidade ‘login com a Microsoft’ e aplicativos multi-inquilino em certas condições”, escreveu o pesquisador da Wiz, Shir Tamari.

Embora a Microsoft afirme que mitigou a ameaça representada pela chave MSA hackeada e publicou novos indicadores de comprometimento, a Wiz avaliou que “pode ser difícil para os clientes detectarem o uso de tokens forjados em seus aplicativos devido à falta de registros em campos cruciais relacionados ao processo de verificação do token”.

Descrevendo as preocupações de segurança levantadas pela Wiz, o pesquisador de segurança cibernética Jake Williams escreveu no Twitter: “Este é um cenário de pesadelo para aqueles que avaliam o impacto. Um número significativo de aplicativos de terceiros usa a Microsoft como provedor de autenticação. Agora sabemos que eles estão potencialmente afetados. Poucos aplicativos de terceiros fornecem registros suficientes para detectar o uso indevido.”

A Microsoft negou que os aplicativos do Azure Active Directory tenham sido prejudicados pelo hack do Storm-0558.

Em resposta ao relatório da Wiz, um porta-voz da Microsoft disse ao NTD News: “Este blog destaca alguns cenários de ataque hipotéticos, mas não observamos esses resultados na prática. Recomendamos que os clientes revisem nossos blogs, especificamente nosso blog Microsoft Threat Intelligence, para saber mais sobre esse incidente e investigar seus próprios ambientes usando os Indicadores de Comprometimento (IOCs) que tornamos públicos.”

Medidas de segurança crescentes da Microsoft

Essa violação de segurança cibernética trouxe uma investigação sobre a Microsoft e seus contratos com várias empresas e escritórios governamentais.

O senador Ron Wyden (D-Ore.) disse que a Microsoft deveria oferecer todas as suas capacidades forenses completas a todos os seus clientes, afirmando que “cobrar das pessoas por recursos premium necessários para não serem hackeadas é como vender um carro e depois cobrar extra pelos cintos de segurança e airbags”.

Diante dessa pressão, a Microsoft anunciou em 19 de julho que começaria a fornecer aos seus clientes padrão do Microsoft Purview Audit uma “visibilidade mais profunda nos dados de segurança, incluindo registros detalhados de acesso a e-mails e mais de 30 outros tipos de dados de log anteriormente disponíveis apenas no nível de assinatura Microsoft Purview Audit (Premium)”.

“Em resposta à crescente frequência e evolução das ameaças cibernéticas de Estados-nação, a Microsoft está tomando medidas adicionais para proteger nossos clientes e aumentar a base de linha de segurança padrão de nossas plataformas de nuvem”, anunciou a empresa. “Essas medidas são resultado de uma estreita coordenação com clientes comerciais e governamentais e com a Agência de Segurança Cibernética e Infraestrutura (CISA) sobre os tipos de dados de registro de segurança que a Microsoft fornece aos clientes de nuvem para obter insights e análises.”

A diretora da CISA, Jen Easterly, elogiou o anúncio da Microsoft, dizendo: “Embora reconheçamos que isso levará tempo para ser implementado, isso é realmente um passo na direção certa em direção à adoção de princípios de Segurança por Design por mais empresas”.

A Reuters contribuiu com este artigo.

Por NTD News

Entre para nosso canal do Telegram