Queen Mobile Blog

Microsoft hé lộ cách các hacker đánh cắp khóa ký email của họ… một cách đặc biệt

#MicrosoftPhơiBàyCáchHackerĐãĐánhCắpKhóaKýEmailCủaHọ… Một loạt những sai lầm không may và liên tục đã cho phép một nhóm hacker được hỗ trợ bởi Trung Quốc đánh cắp một trong số những chìa khóa của Microsoft trong việc truy cập vào hòm thư của chính phủ Mỹ. Microsoft đã giải thích trong một bài đăng trên blog lâu đợi này cách những hacker đã thực hiện vụ trộm. Nhưng trong khi một bí ẩn đã được giải quyết, vẫn còn một số chi tiết quan trọng chưa được biết.

Trong tháng 7, Microsoft tiết lộ rằng nhóm hacker mà họ gọi là Storm-0558, mà họ tin rằng được hậu thuẫn bởi Trung Quốc, “đã lấy mất” một chìa khóa ký email mà Microsoft sử dụng để bảo mật tài khoản email tiêu dùng như Outlook.com. Những hacker đã sử dụng chìa khóa kỹ thuật số đó để xâm nhập vào cả hòm thư cá nhân và doanh nghiệp của các quan chức chính phủ được lưu trữ bởi Microsoft. Vụ hack này được coi là một chiến dịch gián điệp nhắm vào việc rình rập các email không xác định của các quan chức chính phủ và các nhà ngoại giao Mỹ, bao gồm Bộ trưởng Thương mại Hoa Kỳ Gina Raimondo và Đại sứ Hoa Kỳ tại Trung Quốc Nicholas Burns.

Cách mà những hacker này thu được chìa khóa ký email tiêu dùng vẫn là một bí ẩn – thậm chí đối với Microsoft – cho đến tuần này khi ông trùm công nghệ này cuối cùng đã trình bày năm vấn đề riêng biệt dẫn đến việc thông tin về chìa khóa rò rỉ cuối cùng.

Microsoft cho biết trong bài đăng trên blog của mình rằng vào tháng 4 năm 2021, hệ thống được sử dụng như một phần của quy trình ký chìa khóa email tiêu dùng đã bị sập. Sự cố này đã tạo ra một ảnh chụp hệ thống để phân tích sau này. Hệ thống ký chìa khóa email tiêu dùng này được giữ trong một môi trường “tách biệt và hạn chế” nơi truy cập internet bị chặn để phòng vệ trước hàng loạt các cuộc tấn công mạng. Ngay cả Microsoft cũng không biết, khi hệ thống bị sập, ảnh chụp vô tình chứa một bản sao của chìa khóa ký email tiêu dùng nhưng các hệ thống của Microsoft không phát hiện ra chìa khóa trong ảnh chụp.

Ảnh chụp sau đó đã “được chuyển từ mạng sản xuất được cô lập vào môi trường gỡ lỗi trên mạng công ty có kết nối internet” để hiểu tại sao hệ thống lại bị sập. Microsoft cho biết điều này phù hợp với quy trình gỡ lỗi tiêu chuẩn của họ, nhưng các phương pháp quét chứng chỉ của công ty cũng không phát hiện ra sự hiện diện của chìa khóa trong ảnh chụp.

Sau đó, tại một thời điểm nào đó sau khi ảnh chụp đã được chuyển sang mạng công ty của Microsoft vào tháng 4 năm 2021, Microsoft cho biết những hacker Storm-0558 đã “thành công xâm nhập” vào tài khoản công ty của một kỹ sư Microsoft, người được phép truy cập vào môi trường gỡ lỗi nơi chứa ảnh chụp chứa chìa khóa ký email tiêu dùng. Microsoft nói rằng họ không thể chắc chắn hoàn toàn rằng đây là cách mà chìa khóa đã bị đánh cắp vì “chúng tôi không có log với bằng chứng cụ thể về sự rò rỉ này”, nhưng Microsoft nói đây là “cơ chế có thể nhất định thông qua đó nhân vật đã chiếm được chìa khóa”.

Còn về cách chìa khóa ký email tiêu dùng cung cấp quyền truy cập vào hòm thư doanh nghiệp và hòm thư công ty của một số tổ chức và cơ quan chính phủ, Microsoft cho biết hệ thống email của họ không tự động hoặc chính xác thực hiện xác thực chìa khóa, điều này có nghĩa là hệ thống email của Microsoft sẽ “chấp nhận yêu cầu email doanh nghiệp bằng cách sử dụng mã token bảo mật được ký bằng chìa khóa tiêu dùng”, theo Microsoft cho biết.

Bí ẩn đã được giải quyết? Chưa hoàn toàn. Thừa nhận của Microsoft rằng chìa khóa ký email tiêu dùng có thể đã bị đánh cắp từ chính hệ thống của họ kết thúc một lý thuyết rằng chìa khóa có thể đã được lấy ở nơi khác.

Nhưng các hoàn cảnh về cách chính xác mà kẻ xâm nhập đã xâm nhập vào Microsoft vẫn là một câu hỏi còn dang dở. Khi được liên hệ để bình luận, Jeff Jones, giám đốc cấp cao tại Microsoft, cho biết tài khoản của kỹ sư đã bị xâm nhập bằng “phần mềm đánh cắp mã thông báo”, nhưng từ chối để bình luận thêm.

Phần mềm đánh cắp mã thông báo, có thể được chuyển đi qua lừa đảo hoặc liên kết độc hại, tìm kiếm mã thông báo phiên trên máy tính của nạn nhân. Mã thông báo phiên là các tệp nhỏ cho phép người dùng ở trạng thái đăng nhập liên tục mà không cần phải thường xuyên nhập lại mật khẩu hoặc xác thực lại bằng phương pháp xác thực hai yếu tố. Do đó, mã thông báo phiên bị đánh cắp có thể cấp cho kẻ xâm nhập quyền truy cập giống như người dùng mà không cần mật khẩu hay mã hai yếu tố của người dùng.

Đây là một phương pháp tấn công tương tự như cách Uber đã bị xâm nhập vào năm ngoái bởi một nhóm hacker tên là Lapsus$, phụ thuộc vào phần mềm đánh cắp mã thông báo để đánh cắp mật khẩu hoặc mã thông báo phiên của nhân viên Uber. Công ty phần mềm CircleCi cũng đã bị tấn công tương tự vào tháng 1 sau khi phần mềm diệt virus mà công ty sử dụng không phát hiện được phần mềm đánh cắp mã thông báo trên máy tính xách tay của một kỹ sư. LastPass cũng đã có một vụ việc lớn về thông tin bị đánh cắp từ kho lưu trữ mật khẩu của khách hàng sau khi hacker xâm nhập vào máy tính cá nhân của một nhà phát triển LastPass đã bị tấn công.

Cách mà tài khoản của kỹ sư Microsoft đã bị xâm nhập là một chi tiết quan trọng có thể giúp người bảo vệ mạng ngăn chặn một sự cố tương tự trong tương lai. Không rõ liệu máy tính được cấp phép làm việc của kỹ sư đã bị tấn công, hay nó là một thiết bị cá nhân mà Microsoft cho phép truy cập vào mạng của mình. Dù sao đi chăng nữa, tập trung vào một kỹ sư cá nhân có vẻ không công bằng vì thực tế là những kẻ xâm nhập (mặ

Nguồn: https://techcrunch.com/2023/09/08/microsoft-hacker-china-government-storm-0558/

A series of unfortunate and cascading mistakes allowed a China-backed hacking group to steal one of the keys to Microsoft’s email kingdom that granted near unfettered access to U.S. government inboxes. Microsoft explained in a long-awaited blog post this week how the hackers pulled off the heist. But while one mystery was solved, several important details remain unknown.

To recap, Microsoft disclosed in July that hackers it calls Storm-0558, which it believes are backed by China, “acquired” an email signing key that Microsoft uses to secure consumer email accounts like Outlook.com. The hackers used that digital skeleton key to break into both the personal and enterprise email accounts of government officials hosted by Microsoft. The hack is seen as a targeted espionage campaign aimed at snooping on the unclassified emails of U.S. government officials and diplomats, reportedly including U.S. Commerce Secretary Gina Raimondo and U.S. Ambassador to China Nicholas Burns.

How the hackers obtained that consumer email signing key was a mystery — even to Microsoft — until this week when the technology giant belatedly laid out the five separate issues that led to the eventual leak of the key.

Microsoft said in its blog post that in April 2021, a system used as part of the consumer key signing process crashed. The crash produced a snapshot image of the system for later analysis. This consumer key signing system is kept in a “highly isolated and restricted” environment where internet access is blocked to defend against a range of cyberattacks. Unbeknownst to Microsoft, when the system crashed, the snapshot image inadvertently included a copy of the consumer signing key 1️⃣ but Microsoft’s systems failed to detect the key in the snapshot 2️⃣.

The snapshot image was “subsequently moved from the isolated production network into our debugging environment on the internet connected corporate network” to understand why the system crashed. Microsoft said this was consistent with its standard debugging process, but that the company’s credential scanning methods also did not detect the key’s presence in the snapshot image 3️⃣.

Then, at some point after the snapshot image was moved to Microsoft’s corporate network in April 2021, Microsoft said that the Storm-0558 hackers were able to “successfully compromise” a Microsoft engineer’s corporate account, which had access to the debugging environment where the snapshot image containing the consumer signing key was stored. Microsoft said it cannot be completely certain this was how the key was stolen because “we don’t have logs with specific evidence of this exfiltration,” but said this was the “most probable mechanism by which the actor acquired the key.”

As for how the consumer signing key granted access to enterprise and corporate email accounts of several organizations and government departments, Microsoft said its email systems were not automatically or properly performing key validation 4️⃣, which meant that Microsoft’s email system would “accept a request for enterprise email using a security token signed with the consumer key,” 5️⃣ the company said.

Mystery solved? Not quite

Microsoft’s admission that the consumer signing key was probably stolen from its own systems ends a theory that the key may have been obtained elsewhere.

But the circumstances of how exactly the intruders hacked into Microsoft remains an open question. When reached for comment, Jeff Jones, senior director at Microsoft, told TechCrunch that the engineer’s account was compromised using “token-stealing malware,” but declined to comment further.

Token-stealing malware, which can be delivered by phishing or malicious links, seek out session tokens on a victim’s computer. Session tokens are small files that allow users to stay persistently logged-in without having to constantly re-enter a password or re-authorize with two-factor authentication. As such, stolen session tokens can grant an attacker the same access as the user without needing the user’s password or two-factor code.

It’s a similar attack method to how Uber was breached last year by a teenage hacking crew called Lapsus$, which relied on malware to steal Uber employee passwords or session tokens. Software company CircleCi was also similarly compromised in January after the antivirus software the company was using failed to detect token-stealing malware on an engineer’s laptop. LastPass, too, had a major data breach of customers’ password vaults after hackers broke into the company’s cloud storage by way of a compromised LastPass developer’s computer.

How the Microsoft engineer’s account was compromised is an important detail that could help network defenders prevent a similar incident in the future. It’s not clear if the engineer’s work-issued computer was compromised, or if it was a personal device that Microsoft allowed on its network. In any case, the focus on an individual engineer seems unfair given the real culprits for the compromise are the network security policies that failed to block the (albeit highly skilled) intruder.

What is clear is that cybersecurity is incredibly difficult, even for corporate mega-giants with near-limitless cash and resources. Microsoft engineers imagined and considered a wide range of the most complex threats and cyberattacks in designing protections and defenses for the company’s most sensitive and critical systems, even if those defenses ultimately failed. Whether Storm-0558 knew it would find the keys to Microsoft’s email kingdom when it hacked into the company’s network or it was pure chance and sheer timing, it’s a stark reminder that cybercriminals often only need to be successful once.

There seems to be no apt analogy to describe this unique breach or circumstances. It’s both possible to be impressed by the security of a bank’s vault and still acknowledge the efforts by the robbers who stealthily stole the loot inside.

It’s going to be some time before the full scale of the espionage campaign becomes clear, and the remaining victims whose emails were accessed have yet to be publicly disclosed. The Cyber Security Review Board, a body of security experts tasked with understanding the lessons learned from major cybersecurity incidents, said it will investigate the Microsoft email breach and conduct a broader review of issues “relating to cloud-based identity and authentication infrastructure.”


Exit mobile version