Sommario
Il CSRB, una collaborazione tra settori pubblici e privati, ha annunciato l’intenzione di condurre un’analisi dettagliata delle pratiche di sicurezza cloud in seguito ai recenti attacchi cinesi ai conti Microsoft Exchange utilizzati dalle agenzie governative degli Stati Uniti.
Dettagli dell’Attacco
A metà luglio 2023, Microsoft ha riferito che un gruppo di hacker cinesi, identificato come ‘Storm-0558’, ha violato le caselle di posta elettronica di 25 organizzazioni, tra cui agenzie governative statunitensi ed europee. Gli attaccanti hanno utilizzato token di autenticazione falsificati ottenuti da una chiave di firma consumer di Microsoft rubata. Questi token hanno permesso agli hacker di impersonare account Azure e accedere alle caselle di posta elettronica di numerose agenzie governative e organizzazioni, monitorando e rubando email.
Dopo questi attacchi, Microsoft ha ricevuto molte critiche per non aver fornito adeguati log ai suoi clienti gratuitamente. Invece, Microsoft ha richiesto ai clienti di acquistare licenze aggiuntive per ottenere dati di registrazione che avrebbero potuto aiutare a rilevare questi attacchi. Successivamente, Microsoft ha annunciato che ora offre questi dati gratuitamente a tutti i suoi clienti.
Risposta di Microsoft
Microsoft ha revocato la chiave di firma rubata e corretto la vulnerabilità dell’API per prevenire ulteriori abusi. Tuttavia, la loro indagine sull’incidente non è riuscita a rivelare come gli hacker abbiano ottenuto la chiave in primo luogo. Due settimane dopo la scoperta iniziale della violazione, i ricercatori di Wiz hanno segnalato che l’accesso di Storm-0558 era molto più ampio di quanto precedentemente riferito da Microsoft.
Il Ruolo del CSRB
Il CSRB esplorerà come il governo, l’industria e i fornitori di servizi cloud possono rafforzare la gestione dell’identità e l’autenticazione nel cloud e sviluppare raccomandazioni d’azione sulla sicurezza cibernetica per tutte le parti interessate. Queste raccomandazioni saranno inoltrate alla CISA e all’attuale amministrazione statunitense, che deciderà quali azioni intraprendere per proteggere i sistemi e gli account governativi.
Dato il grave impatto della violazione, gli sforzi investigativi estesi richiesti e le conclusioni non definitive finora, il governo statunitense ha incaricato il CSRB di condurre una revisione completa del caso, sperando che produca intuizioni che rafforzeranno gli utenti, i difensori e i fornitori di servizi contro future minacce.
