نفوذ هکرهای چینی به حساب های دولتی آمریکا

مایکروسافت می گوید هکرهای چینی از یک کلید امضای دزدیده شده از یک خرابی ویندوز برای نفوذ به حساب‌های دولتی آمریکا استفاده کرده اند.

به گزارش تکناک، به دنبال نفوذ گروه هکری چینی Storm-0558  به حساب‌های ایمیل مایکروسافت متعلق به دو دستگاه دولتی ، یک هیئت مشاوره امنیت سایبری در ایالات متحده که توسط دولت جو بایدن تشکیل شده بود، یک تحقیق را آغاز کرد. هدف این هیئت بررسی دخالت مایکروسافت در این موضوع است و احتمال وجود جنبه‌های دیگری در این داستان و عدم شفافیت شرکت درباره آن وجود دارد.

اگرچه مایکروسافت توانست مشکل را کاهش دهد، اما توضیحات مفصلی درباره نحوه رخ دادن حادثه و نحوه دستیابی مهاجمان به اطلاعات اعتباری فراهم نکرد.

طبق گزارشی جدید از BleepingComputer، مایکروسافت اعلام کرده است که گروه Storm-0558 پس از نفوذ به حساب شرکتی یک مهندس مایکروسافت، توانست با دزدیدن یک کلید امضایی از یک دامپ خرابی ویندوز، به اطلاعات اعتباری مقام‌ها دسترسی یابد.

هکرها از این کلید برای نفوذ به حساب‌های Exchange Online و Azure Active Directory تعدادی از سازمان‌ها استفاده کردند. سازمان‌های دولتی مستقر در ایالات متحده، از جمله وزارت امور خارجه و وزارت بازرگانی ایالات متحده، از جمله نهادهایی بودند که تحت تأثیر این نفوذ قرار گرفتند. این امر باعث برانگیختن تعجب‌ فراوانی شد، از جمله تعجب سناتور ران وایدن که در تاریخ ۲۷ ژوئیه نامه ای نوشت و درخواست کرد هیئت مرور امنیت سایبری این موضوع را تحقیق کند.

مایکروسافت در این رابطه گفت: ما متوجه شدیم که این دامپ خرابی که در آن زمان فکر می‌شد شامل مواد کلیدی نباشد، پس از شبکه تولید مجزا به محیط اشکال‌زدایی ما در شبکه شرکتی متصل به اینترنت منتقل شده است. این با روند استاندارد ما در اشکال‌زدایی سازگار است. روش‌های اسکن اعتبار ما حضور آن را تشخیص ندادند (این مشکل تصحیح شده است).

مایکروسافت در ادامه توضیح داد که گروه هکر چینی از یک مشکل اعتبارسنجی روز صفر در GetAccessTokenForResourceAPI استفاده کرد که پس از آن کاهش یافته است تا توکن‌های دسترسی امضا شده را تقلبی بسازد، به این ترتیب به آنها اجازه می دهد تا هویت حساب های مقامات را جعل کنند.

همچنین، شرکت مایکروسافت توضیح داد که کلید MSA (Microsoft Account) استفاده شده برای نفوذ به حساب‌های مقامات مربوط به آوریل 2021 بوده است، زمانی که در اثر خرابی سیستم امضای یک کاربر عادی، در یک دامپ خرابی منتشر شد.

به گفته مایکروسافت:به دلیل سیاست‌های حفظ گزارش، ما گزارش‌هایی با شواهد خاصی از این خروج اطلاعات توسط این عامل نداریم، اما این احتمالاً مکانیزمی بود که عامل با آن کلید را به دست آورده است.

شرکت افزود که در حالی که دامپ خرابی نباید شامل کلیدهای امضاکننده باشد، یک شرایط رقابتی باعث اضافه شدن آن شده است. به طور قابل توجه، دامپ خرابی از شبکه تولید شرکت به محیط اشکال‌زدایی شرکت متصل به اینترنت منتقل شد. با این حال، مایکروسافت اعلام کرده است که مشکل برطرف شده است و اعلام کرده است که روش‌های اسکن اعتبار آن هیچ حضوری از حمله کنندگان را تشخیص نداده‌اند.

شدت نقض چقدر بود؟

به گفته شیر تماری، یک پژوهشگر امنیت در شرکت Wiz، نفوذ هکرهای چینی به جای خود Exchange Online و Outlook، به سرویس‌های ابری مایکروسافت نیز گسترش یافت. این پژوهشگر اشاره کرد که این نفوذ به مهاجمان امکان دسترسی به خدمات ابری مایکروسافت را فراهم کرده است.

دسترسی گسترده به این خدمات به این معنی است که مهاجمان می‌توانند از این کلید برای جعل هویت در تقریباً تمام پلتفرم‌های مبتنی بر ابر مایکروسافت استفاده کنند، از جمله Outlook، SharePoint، OneDrive و Teams. بدون اینکه برنامه‌هایی که احراز هویت حساب مایکروسافت را پشتیبانی می‌کنند را فراموش کنیم.

با این حال، مایکروسافت ادعاها را که کلید فقط در برنامه‌هایی قابل استفاده است که حساب‌های شخصی را قبول می‌کنند، رد کرده است. این امر منجر به لغو تمام کلیدهای امضایی MSA معتبر شده است تا تلاش‌های مهاجمان برای دسترسی به کلیدهای تخریب شده بیشتر ضعیف شود. به همین ترتیب، این اقدام منجر به مسدود شدن تولید توکن‌های دسترسی جدید نیز شده است. در نهایت، شرکت توکن‌های دسترسی اخیراً تولید شده را به فضای ذخیره‌سازی کلیدی انتقال داده است که در سیستم‌های شرکتی آن استفاده می‌شود.

آمی لاتواک، مدیر عامل فنی و ‌بنیانگذار شرکت Wiz، در گفت‌وگو با BleepingComputer، دیدگاه‌های زیر را به اشتراک گذاشت:

تمامی موارد در دنیای مایکروسافت بر اساس توکن‌های احراز هویت Azure Active Directory برای دسترسی استفاده می‌کند. یک حمله‌کننده با یک کلید امضای AAD، قدرتمندترین حمله‌کننده‌ای است که می‌توانید تصور کنید، زیرا او می‌تواند تقریباً به هر برنامه‌ای دسترسی پیدا کند. این قدرت، قدرت فوق‌العاده‌ای در حوزه اطلاعات سایبری است که امکان تغییر شکل و تبدیل شدن به هر شکلی را به او می‌دهد.

امیت یوران، مدیرعامل شرکت Tenable، در بسیاری از مواقع به مایکروسافت انتقاد کرده و کمبود شفافیت آن درباره نقض‌های امنیتی و روش‌های امنیتی را برجسته کرده است.