מיקרוסופט: מתקפת סייבר סינית – גם סוכנויות ממשל אמריקניות נפגעו

זוהתה מתקפת סייבר שבוצעה על ידי האקרים שלוחי סין. במתקפה ההאקרים הצליחו לחדור לכמה עשרות ארגונים, כולל סוכנויות ממשל בארה"ב, כחלק ממסע ריגול בסייבר, שנועד להשיג נתונים חסויים. את המתקפה חשפו חוקרי האיומים של מיקרוסופט (Microsoft).

המתקפות, שהחלו ב-15 במאי השנה, כללו גישה לחשבונות דואר אלקטרוני של כ-25 ישויות ומספר קטן של חשבונות צרכנים בודדים, הקשורים לאותם ארגוני ממשל.

הענקית מרדמונד ייחסה את הקמפיין ל-Storm-0558, קבוצת האקרים הפועלת בחסות סין ומתמקדת בעיקר במתקפות כנגד סוכנויות ממשלתיות במערב אירופה. "ההאקרים מתמקדים בריגול, גניבת נתונים והשגת גישה לאישורי כניסה למערכות", אמרה מיקרוסופט, "הם משתמשים בנוזקות מותאמות אישית, דוגמת Cigril ו-Bling, לטובת השגת אישורי גישה. אנחנו עוקבים אחריהן".

המתקפה זוהתה רק כחודש אחרי שהחלה

המתקפה זוהתה רק כחודש לאחר שאירעה, באמצע יוני השנה. לקוח ארגוני של מיקרוסופט הסב את תשומת ליבה של ענקית הטק לאנומליות שיש בפעילות הדואר האלקטרוני של החברה שלו. אז התגלה כי ההאקרים הסינים ניצלו חולשה בשירות הדואר האלקטרוני של מיקרוסופט, כדי להשיג גישה לחשבונות הדוא"ל, ביניהם של עובדי ממשלת ארה"ב.

הענקית מרדמונד לא ציינה את זהות הקורבנות, אולם המועצה לביטחון לאומי של הבית הלבן אישרה כי "סוכנויות ממשל בארה"ב הושפעו מהפריצה… בחודש שעבר, מערך ההגנה של ממשלת ארה"ב זיהה פריצה לשירות הענן של מיקרוסופט. זו השפיעה על מערכות לא מסווגות", נמסר.

מיקרוסופט עדכנה את כל הארגונים שניזוקו, או שהיו מטרה למתקפה. היא לא ציינה את שמות הארגונים והסוכנויות שהושפעו או את מספר החשבונות שאולי נפרצו. לפי הוושינגטון פוסט, התוקפים פרצו גם לכמה חשבונות מייל לא מסווגים בארה"ב.

הגישה לחשבונות דוא"ל של לקוחות, לפי מיקרוסופט, התאפשרה באמצעות OWA (ר"ת Outlook Web Access) – על ידי זיוף אסימוני אימות, ניצול בעיות בהליך האימות והתחזות למשתמשים לגיטימיים. לפי החברה, המתקפה נחסמה ולחברי קבוצת ההאקרים אין יותר גישה לחשבונות אלו. מיקרוסופט לא ציינה האם הודלף מידע רגיש במסגרת המתקפה.

דבר המתקפה מגיע לאחר שלפני יותר מחודש מיקרוסופט חשפה מתקפות על תשתית קריטיות, שהופעלו על ידי קבוצת האקרים סינית בשם Volt Typhoon, המכונה גם Bronze Silhouette, או Vanguard Panda.