Gli hacker cinesi sostenuti dallo Stato hanno violato la sicurezza del cloud di Microsoft, hackerando gli account di posta elettronica dei funzionari di diverse agenzie statunitensi che trattano con la Cina, prima del viaggio del Segretario di Stato Antony Blinken a Pechino il mese scorso.
Lo spionaggio “chirurgico e mirato” ha avuto accesso all’e-mail di un ridotto ma specifico numero di persone presso un numero imprecisato di agenzie statunitensi ed è stato scoperto a metà giugno dal Dipartimento di Stato americano. Funzionari statunitensi hanno detto che nessuno dei sistemi violati era classificato, né lo erano i dati rubati.
Cosa sappiamo dell’attacco
I funzionari hackerati includono il segretario al commercio Gina Raimondo, ha riferito il Washington Post, citando funzionari statunitensi anonimi. I controlli sulle esportazioni imposti dalla sua agenzia hanno colpito diverse aziende cinesi.
Una persona a conoscenza delle indagini ha riferito alla stampa che le agenzie militari e di intelligence statunitensi non sono tra quelle colpite dalla campagna di spionaggio durata un mese, che ha attaccato anche governi stranieri anonimi.
In una consulenza tecnica la US Cybersecurity and Infrastructure Security Agency e l’FBI hanno accertato che gli hacker hanno ottenuto l’accesso a Microsoft impersonando falsamente utenti autorizzati.
I funzionari non hanno specificato la natura dei dati rubati. Ma un funzionario statunitense ha detto che l’intrusione è stata “direttamente mirata” a diplomatici e altri che si occupano del portafoglio cinese presso il Dipartimento di Stato e altre agenzie. Il funzionario ha aggiunto che non era ancora chiaro se ci fosse stata una significativa compromissione delle informazioni.
Il viaggio di Blinken è andato avanti come previsto, anche se con le consuete procedure di sicurezza delle informazioni, che hanno richiesto alla sua delegazione di utilizzare telefoni e computer “burner” in Cina.
La comunicazione di Microsoft
L’hacking è stato rivelato qualche giorno fa da Microsoft in un post sul suo blog. La comunicazione diceva che Microsoft sarebbe stata avvisata della violazione, poi attribuita ad un gruppo di hacking cinese sostenuto dallo stato e focalizzato sullo spionaggio “noto per prendere di mira le agenzie governative nell’Europa occidentale”. Microsoft ha affermato che il gruppo, denominato Storm-0558, ha ottenuto l’accesso agli account di posta elettronica che interessano circa 25 organizzazioni, comprese le agenzie governative, da metà maggio, nonché agli account di individui associati a tali agenzie.
Né Microsoft né i funzionari statunitensi hanno indicato le agenzie o i governi interessati. Un alto funzionario della CISA ha detto ai giornalisti in una conferenza stampa che il numero di organizzazioni interessate negli Stati Uniti è comunque a una cifra.
La sicurezza dei fornitori del Governo
Mentre il funzionario ha rifiutato di dire se i colleghi statunitensi sarebbero scontenti di Microsoft per la violazione, il portavoce del Consiglio di sicurezza nazionale degli Stati Uniti, Adam Hodge, ha osservato che sono state le “protezioni del governo” a rilevare l’intrusione e ha aggiunto: “continuiamo a sottoporre i fornitori di appalti del governo degli Stati Uniti a una soglia di sicurezza elevata”.
In effetti, tali garanzie consistono in una funzionalità di registrazione dei dati per la quale Microsoft addebita un sovrapprezzo. Il funzionario della CISA ha notato che ad alcune delle vittime mancava la funzionalità di registrazione dei dati e, incapace di rilevare la violazione, ne è venuto a conoscenza solo tramite Microsoft.
L’utilizzo di token di autenticazione contraffatti
Ma la preoccupazione maggiore per gli esperti di sicurezza informatica è che gli hacker di The Storm-0558 abbiano fatto irruzione utilizzando token di autenticazione contraffatti, che vengono utilizzati per verificare l’identità di un utente. Il vicepresidente esecutivo per la sicurezza di Microsoft, Charlie Bell, ha dichiarato sul sito Web dell’azienda che gli hacker lo avevano fatto acquisendo una “chiave di firma del consumatore”.
Il ricercatore di sicurezza informatica Jake Williams, un ex hacker offensivo della National Security Agency, ha affermato che non è chiaro come gli hacker siano riusciti a farlo. Microsoft non ha risposto immediatamente alle domande inviate via e-mail, incluso se sia stato violato dagli hacker per ottenere la chiave di firma.
Williams era preoccupato che gli hacker potessero aver falsificato token per un ampio utilizzo per hackerare un numero qualsiasi di utenti Microsoft non aziendali. “Non riesco a immaginare che la Cina non abbia utilizzato questo accesso anche per prendere di mira i dissidenti con abbonamenti personali”, ha aggiunto.
Il capo dell’intelligence per la società di sicurezza informatica Crowdstrike, Adam Meyers, ha dichiarato che l’incidente evidenzia il rischio sistemico di affidarsi a un unico fornitore di tecnologia come Microsoft. Ha affermato che “avere un fornitore monolitico responsabile di tutta la tecnologia, i prodotti, i servizi e la sicurezza può finire in un disastro”.
La risposta della Cina
Un portavoce del ministero degli Esteri cinese, Wang Wenbin, ha definito l’accusa statunitense di pirateria informatica “disinformazione” volta a distogliere l’attenzione dal cyberspionaggio statunitense contro la Cina.
“Non importa quale agenzia abbia rilasciato queste informazioni, non cambierà mai il fatto che gli Stati Uniti sono il più grande impero di hacker al mondo che conduce la maggior parte dei furti informatici”, ha detto Wang in un briefing di routine.
Anche le agenzie di intelligence statunitensi utilizzano l’hacking come strumento di spionaggio critico e non costituisce una violazione del diritto internazionale.
Il mese scorso, la società di sicurezza informatica di proprietà di Google, Mandiant, ha affermato che sospetti hacker cinesi sostenuti dallo stato hanno fatto irruzione nelle reti di centinaia di organizzazioni del settore pubblico e privato a livello globale sfruttando una vulnerabilità in un popolare strumento di sicurezza della posta elettronica.
All’inizio di quest’anno, Microsoft ha comunicato che gli hacker cinesi sostenuti dallo stato stavano prendendo di mira le infrastrutture critiche degli Stati Uniti e potrebbero gettare le basi tecniche per interrompere le comunicazioni critiche tra gli Stati Uniti e l’Asia durante le crisi future.
