60.000 mails blev stjålet fra 10 konti i det amerikanske udenrigsministerium, da den kinesiske hackergruppe Storm-0558 lykkedes med at infiltrere Microsoft Exchange Online- og Azure AD-konti hos den amerikanske regering.
Det skriver Reuters.
Ni af de ramte medarbejdere i ministeriet var udstationeret i Østasien, mens en var udstationeret i Europa. Lokationerne bliver ikke yderligere specificeret.
Microsoft meddelte i juli, at der var omkring 25 organisationer, inklusive statslige agenturer, blevet kompromitteret af hackergruppen, som brugte forfalskede autentificeringstokens for at få adgang til individuelle e-mail-konti.
Hackerne havde adgang til nogle af kontiene i en hel måned, før det blev opdaget.
"Vi er nødt til at hærde vores forsvar mod disse typer af cyberangreb og indtrængen," sagde den amerikanske senator Eric Schmitt i en erklæring, som blev sendt til personalet i en e-mail, som Reuters er i besiddelse af.
Og han fortsætter:
"Vi er nødt til at se grundigt på den føderale regerings afhængighed af en enkelt leverandør som et potentielt svagt punkt."
Microsoft har ikke ønsket af kommentere Reuters-historien.
En af Microsofts egne
Hackergruppen brugte forfalskede autentificeringsnøgler til at skaffe sig adgang til individuelle e-mail-konti.
Angrebet var et mysterie for Microsoft, da det skete. Techgiganten anede ikke, hvordan Storm-0558 havde stjålet signaturnøgler. En undersøgelse blev derfor iværksat.
Microsoft konkluderede, at hackergruppen sandsynligvis først hackede sig ind i en Microsoft-ingeniørs virksomhedskonto, hvor de stjal den autentificeringsnøgle, som de senere brugte til at få adgang til e-mailkonti tilhørende ansatte i den amerikanske regering.
Hackerne brugte nøglen til at forfalske godkendelsestokens for at få adgang til e-mailkonti på Microsofts cloud-servere, herunder dem, der tilhørte handelsminister i USA, Gina Raimondo, samt medlem af Repræsentanternes Hus Don Bacon blandt andre.
Gemt forkert under crash dump
Ifølge Microsoft blev ingeniørens autentificeringsnøgle gemt forkert i et "crash dump," som er data, der gemmes, når en computer eller et program uventet går ned.
Crash-dumpen blev derefter flyttet ind i Microsofts produktionsmiljø, hvor en kompromitteret konto tilhørende en Microsoft-medarbejder kunne få adgang til den. Nøglen blev stjålet på et tidspunkt efter april 2021, oplyser virksomheden.
"På grund af logopbevaringspolitikker har vi ikke logfiler med specifikke beviser for denne eksfiltrering fra denne aktør, men det er den mest sandsynlige mekanisme, hvormed aktøren erhvervede nøglen," skriver Microsoft i blogindlægget.
Hændelsen har ført til granskning af Microsofts cybersikkerhedspraksis.
Efter et krav fra den amerikanske senator Ron Wyden er det amerikanske Cyber Safety Review Board i gang med at undersøge hændelsen såvel som andre sårbarheder i cloud-sikkerheden.
I sit blogindlæg identificerer Microsoft fem forskellige fejl i it-arkitekturen af sine systemer, som er alle er blevet rettet.
