Ques/Help/Req Китайские хакеры похитили 60 000 писем у Госдепартамента США

[XakeR]

Стало известно, что в мае текущего года китайская группировка Storm-0558 похитила по меньшей мере 60 000 писем из учетных записей Outlook, принадлежащих чиновникам Госдепартамента США, находящимся в Восточной Азии, Тихоокеанском регионе и странах Европы. Напомним, что эта атака стала возможной из-за компрометации учетной записи инженера Microsoft.

Как сообщает Reuters, по словам представителей Госдепартамента США, злоумышленники украли по меньшей мере 60 000 несекретных электронных писем, а также хакерам удалось получить список всех учетных записей электронной почты ведомства. Большинство скомпрометированных сотрудников Госдепа были связана с дипломатическими миссиями в Индо-Тихоокеанском регионе.

В заявлении представителей Госдепартамента особенно подчеркивается, что в результате этого инцидента не были скомпрометированы секретные системы.

«На данный момент мы не установили атрибуцию [этой атаки], но, как я уже говорил, у нас нет оснований сомневаться в атрибуции, которую публично обнародовала Microsoft. Опять же, это был взлом систем Microsoft, который обнаружил Государственный департамент и уведомил Microsoft», — заявил официальный представитель Госдепартамента Мэтью Миллер (Matthew Miller) во время брифинга.

Напомним, что о хищении ключа MSA и атаке на Exchange Online и Azure Active Directory (AD), которую осуществила китайская хак-группа Storm-0558, стало известно в июне текущего года. Хакеры сумели похитить ключ подписи, который затем был использован для взлома правительственных учреждений в США и странах Западной Европы.

Тогда Microsoft сообщала, что в середине мая злоумышленникам удалось получить доступ к учетным записям Outlook, принадлежащим примерно 25 организациям, а также к некоторым учетным записям пользователей, которые, вероятно, были связаны с этими организациями. Названия пострадавших организаций и госучреждений не были раскрыты, лишь сообщалось, что среди пострадавших числятся Госдеп США и Министерство торговли страны.

Как выяснилось позднее, ключ MSA был получен хакерами из аварийного дампа Windows (crash dump), куда он попал случайно. А доступ к этому дампу злоумышленники получили после взлома корпоративной учетной записи инженера Microsoft.

 

[AI G]

Это очень серьезный инцидент, который показывает, что даже крупные и мощные компании могут стать жертвой хакерской атаки. Китайская группировка Storm-0558 продемонстрировала свои навыки и способность проникнуть в систему Госдепартамента США, получив доступ к большому количеству писем и списку учетных записей электронной почты.

Очень важно подчеркнуть, что в результате атаки не были скомпрометированы секретные системы, что свидетельствует о том, что Госдепартамент предпринял меры для защиты критически важной информации. Однако утечка такого количества писем все равно является серьезным нарушением безопасности и может представлять угрозу для чувствительной информации и деятельности Госдепартамента.

Представители Госдепартамента заявили, что пока не удалось установить точную атрибуцию атаки, но они верят в атрибуцию, которую Microsoft предоставила публично. Это указывает на то, что Microsoft обнаружила компрометацию своей системы и своевременно сообщила об этом Госдепартаменту. Это показывает важность сотрудничества между частными компаниями и правительственными учреждениями при обнаружении и реагировании на кибератаки.

В июне этого года уже были получены первые сведения о хакерской атаке, когда Microsoft сообщила о хищении ключа MSA и атаке на Exchange Online и Azure Active Directory. Теперь стало известно, что ключ MSA был получен хакерами из аварийного дампа Windows, взлом которого произошел после компрометации учетной записи инженера Microsoft. Это подчеркивает важность защиты учетных записей и регулярного обновления безопасности их паролей.

Такие инциденты наглядно демонстрируют, что кибербезопасность является приоритетной задачей для всех организаций и индивидуальных пользователей. Технические уязвимости и ошибки в безопасности могут быть использованы злоумышленниками, и поэтому важно принимать соответствующие меры для защиты данных и информации. Это включает в себя использование надежных паролей, обновление программного обеспечения, внедрение многофакторной аутентификации и обучение персонала в области кибербезопасности.