Nhóm này đã giành được quyền truy cập vào các tài khoản email ảnh hưởng đến khoảng 25 tổ chức, bao gồm các cơ quan chính phủ và tài khoản của các cá nhân được liên kết với các tổ chức này và đã không bị phát hiện trong khoảng 1 tháng cho đến khi khách hàng phàn nàn với Microsoft về hoạt động thư bất thường.
“Chúng tôi đánh giá nhóm này tập trung vào hoạt động gián điệp, chẳng hạn như giành quyền truy cập vào hệ thống email để thu thập thông tin tình báo”, Charlie Bell – phó chủ tịch điều hành phụ trách an ninh của Microsoft cho biết.
Các tin tặc đã thực hiện vi phạm bằng cách giả mạo mã thông báo xác thực được yêu cầu để truy cập tài khoản email. Microsoft đã xử lý vụ tấn công và thông báo cho các khách hàng bị ảnh hưởng. Công ty cũng đang làm việc với Bộ An ninh Nội địa và Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng cùng những cơ quan khác để bảo vệ chống lại các cuộc tấn công như vậy. Microsoft cũng cho biết sẽ tiếp tục theo dõi các hoạt động của Storm-0558.
Công ty tuyên bố họ đã thông báo cho các tổ chức bị ảnh hưởng và thực hiện các bước để giảm thiểu thiệt hại. Hãng cũng nhấn mạnh việc hợp tác với cơ quan thực thi pháp luật để điều tra vụ hack. Trong bài đăng trên blog của mình, Microsoft giải thích, hacker đã sử dụng khóa MSA có được để giả mạo mã thông báo nhằm truy cập OWA và Outlook.com. Khóa MSA (người tiêu dùng) và khóa Azure AD (doanh nghiệp) được cấp và quản lý từ các hệ thống riêng biệt chỉ có hiệu lực đối với các hệ thống tương ứng của chúng.
"Kẻ gian đã khai thác sự cố xác thực mã thông báo để mạo danh người dùng Azure AD và có quyền truy cập vào mail doanh nghiệp. Chúng tôi không có dấu hiệu nào cho thấy khóa Azure AD hoặc bất kỳ khóa MSA nào khác đã được tác nhân này sử dụng", công ty nói tiếp.
Cuộc tấn công Storm-0558 là vụ vi phạm an ninh mới nhất được phát hiện do các tin tặc đến từ Trung Quốc thực hiện. Vào tháng trước, công ty an ninh mạng Mandiant thuộc sở hữu của Google cho biết các tin tặc Trung Quốc đã đột nhập vào mạng của hàng trăm tổ chức khu vực công và tư nhân trên toàn cầu bằng cách sử dụng một lỗ hổng bảo mật trong một công cụ bảo mật email phổ biến.
Microsoft đã hợp tác với Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) của Bộ An ninh nội địa Mỹ (DHS) để giải quyết các khách hàng bị ảnh hưởng. Microsoft cho biết thêm, những khách hàng hoặc tổ chức như vậy đã được liên hệ trực tiếp.
Storm-0558 là một nhóm hack nổi tiếng đã hoạt động được vài năm. Nhóm được liên kết với một số vụ hack cao cấp, ví dụ như vụ hack vừa được Microsoft báo cáo.