Hacker China Serang Microsoft, Terkait Spionase Mencuri Data Rahasia
The Hacker News
Cyberthreat.id - Microsoft mengungkapkan telah menangkis serangan dunia maya yang menargetkan dua lusin organisasi, beberapa di antaranya termasuk lembaga pemerintah. Disebutkan, aktor penyerang berasal dari negara China terkait kegiatan spionase dunia maya yang dirancang untuk memperoleh data rahasia.
The Hacker News menyebutkan bahwa serangan, yang dimulai pada 15 Mei 2023, memerlukan akses ke akun email yang memengaruhi sekitar 25 entitas dan sejumlah kecil akun konsumen individu terkait.
Raksasa teknologi itu mengaitkan kampanye tersebut dengan Storm-0558, menggambarkannya sebagai kelompok aktivitas negara-bangsa yang berbasis di China yang terutama memilih lembaga pemerintah di Eropa Barat.
"Mereka fokus pada spionase, pencurian data, dan akses kredensial," kata Microsoft. "Mereka juga diketahui menggunakan malware khusus yang dilacak Microsoft sebagai Cigril dan Bling, untuk akses kredensial."
Pelanggaran tersebut dikatakan telah terdeteksi sebulan kemudian pada 16 Juni 2023, setelah pelanggan tak dikenal melaporkan aktivitas email yang tidak normal ke perusahaan.
Microsoft mengatakan telah memberi tahu semua organisasi yang ditargetkan atau disusupi secara langsung melalui admin penyewa mereka. Itu tidak menyebutkan organisasi dan agensi yang terpengaruh dan jumlah akun yang mungkin telah diretas.
Namun, menurut Washington Post, penyerang juga membobol sejumlah akun email AS yang tidak terklasifikasi.
Akses ke akun email pelanggan, per Redmond, difasilitasi melalui Outlook Web Access di Exchange Online (OWA) dan Outlook.com dengan memalsukan token autentikasi.
"Aktor menggunakan kunci MSA yang diperoleh untuk memalsukan token untuk mengakses OWA dan Outlook.com," jelasnya.
"Kunci MSA (konsumen) dan kunci Azure AD (perusahaan) dikeluarkan dan dikelola dari sistem terpisah dan seharusnya hanya valid untuk sistem masing-masing."
"Aktor mengeksploitasi masalah validasi token untuk menyamar sebagai pengguna Azure AD dan mendapatkan akses ke email perusahaan."
Tidak ada bukti bahwa pelaku ancaman menggunakan kunci Azure AD atau kunci MSA lainnya untuk melakukan serangan.
Microsoft sejak itu memblokir penggunaan token yang ditandatangani dengan kunci MSA yang diperoleh di OWA untuk mengurangi serangan tersebut.
"Jenis spionase-motivasi musuh berusaha menyalahgunakan kredensial dan mendapatkan akses ke data yang berada di sistem sensitif," kata Charlie Bell, wakil presiden eksekutif Microsoft Security.
Pengungkapan tersebut terjadi lebih dari sebulan setelah Microsoft mengungkap serangan infrastruktur kritis yang dilakukan oleh kolektif musuh China bernama Volt Typhoon (alias Bronze Silhouette atau Vanguard Panda) yang menargetkan AS.[]
