En mayo del 2023, Microsoft repelió un ciberataque realizado por un actor estatal de China. El objetivo era obtener información confidencial de alrededor de 25 entidades, algunas de las cuales eran agencias gubernamentales. La campaña, diseñada para el espionaje cibernético, fue atribuida al grupo de actividad Storm-0558, que se basa en China y se enfoca principalmente en las agencias gubernamentales de Europa Occidental.
El ataque cibernético chino comenzó el 15 de mayo de 2023. El objetivo era obtener información confidencial de alrededor de 25 entidades, algunas de las cuales eran agencias gubernamentales. El grupo de actividad Storm-0558, que se basa en China, fue identificado como el actor estatal detrás del ataque.
Storm-0558 se enfoca principalmente en las agencias gubernamentales de Europa Occidental y se sabe que utiliza malware personalizado que Microsoft rastrea como Cigril y Bling, para el acceso de credenciales. Según Microsoft, el grupo de actividad se enfoca en el espionaje, la extracción de datos y el acceso de credenciales.
El ataque no fue detectado inmediatamente. De hecho, fue detectado un mes después del inicio del ataque, el 16 de junio de 2023, después de que un cliente no identificado informara a Microsoft sobre la actividad de correo electrónico anómala.
Microsoft notificó directamente a todas las organizaciones afectadas o comprometidas a través de sus administradores de inquilinos. Sin embargo, la empresa no nombró las organizaciones y agencias afectadas, ni el número de cuentas que podrían haber sido hackeadas.
El acceso a las cuentas de correo electrónico de los clientes fue posible a través de Outlook Web Access en Exchange Online (OWA) y Outlook.com mediante la falsificación de tokens de autenticación. El actor utilizó una clave MSA adquirida para falsificar tokens y acceder a OWA y Outlook.com.
Según Microsoft, las claves MSA del consumidor y las claves de Azure AD empresariales se emiten y administran desde sistemas separados y solo deben ser válidas para sus respectivos sistemas. El actor explotó un problema de validación de tokens para hacerse pasar por usuarios de Azure AD y obtener acceso al correo empresarial.
No hay evidencia de que el actor de amenaza haya utilizado claves de Azure AD u otras claves MSA para llevar a cabo los ataques.
Microsoft bloqueó el uso de tokens firmados con la clave MSA adquirida en OWA para mitigar el ataque. La empresa también recomendó a los usuarios que cambien sus contraseñas y configuren la autenticación multifactor en sus cuentas.
La empresa declaró que "este tipo de adversario motivado por el espionaje busca abusar de las credenciales y obtener acceso a los datos que residen en sistemas sensibles", y recomendó a los usuarios que sigan las mejores prácticas de seguridad cibernética, como la autenticación multifactor y las contraseñas seguras.
Este ataque cibernético chino no es el primero que afecta a los gobiernos y las empresas occidentales. En junio del mismo año, Microsoft expuso los ataques a la infraestructura crítica realizados por un colectivo adversario chino llamado Volt Typhoon (también conocido como Bronze Silhouette o Vanguard Panda) que tenía como objetivo a los Estados Unidos.
Según Microsoft, los ataques fueron realizados por una "sofisticada amenaza persistente avanzada" y la empresa trabajó con el gobierno de los Estados Unidos para frustrar los ataques.