Português 
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Mitigação para a China
11 de julho de 2023 | Charlie Bell - vice-presidente executivo de segurança da Microsoft
A Microsoft e outras empresas do setor pediram transparência quando se trata de incidentes cibernéticos, para que possamos aprender e melhorar. Como afirmamos anteriormente, não podemos ignorar o aumento exponencial e a frequência de ataques sofisticados. Os crescentes desafios que enfrentamos apenas reforçam o nosso compromisso com uma maior partilha de informações e parcerias industriais.
Hoje, estamos publicando detalhes da atividade de um ator baseado na China que a Microsoft está rastreando como Storm-0558, que obteve acesso a contas de email que afetam aproximadamente 25 organizações, incluindo agências governamentais, bem como contas de consumidores relacionadas de indivíduos provavelmente associados a essas organizações. Temos trabalhado com os clientes afetados e notificado-os antes de ir a público com mais detalhes. Nesta fase – e em coordenação com os clientes – estamos a partilhar os detalhes do incidente e do agente da ameaça para beneficiar a indústria.
Os ataques cibernéticos continuam a aumentar em sofisticação e frequência
Os agentes de ameaças motivados continuam a concentrar-se no comprometimento dos sistemas de TI. Esses adversários com bons recursos não fazem distinção entre tentar comprometer contas comerciais ou pessoais associadas a organizações visadas, uma vez que basta um login de conta comprometida com sucesso para obter acesso persistente, exfiltrar informações e atingir objetivos de espionagem. O ator de ameaça que a Microsoft vincula a este incidente é um adversário baseado na China que a Microsoft chama de Storm-0558. Avaliamos que este adversário está focado em espionagem, como obter acesso a sistemas de e-mail para coleta de inteligência. Este tipo de adversário motivado pela espionagem procura abusar de credenciais e obter acesso a dados residentes em sistemas confidenciais.
Mitigação concluída para todos os clientes
Em 16 de junho de 2023, com base nas informações relatadas pelo cliente, a Microsoft iniciou uma investigação sobre atividades de correio anômalas. Nas semanas seguintes, nossa investigação revelou que, a partir de 15 de maio de 2023, Storm-0558 obteve acesso a dados de e-mail de aproximadamente 25 organizações e a um pequeno número de contas de consumidores relacionadas de indivíduos provavelmente associados a essas organizações. Eles fizeram isso usando tokens de autenticação forjados para acessar o email do usuário usando uma chave de assinatura de consumidor de conta Microsoft (MSA) adquirida. A Microsoft concluiu a mitigação deste ataque para todos os clientes.
Adicionamos detecções automatizadas substanciais para indicadores conhecidos de comprometimento associados a este ataque para fortalecer as defesas e os ambientes dos clientes, e não encontramos nenhuma evidência de acesso adicional.
Chave de resposta coordenada para mitigação rápida
A investigação em tempo real e a colaboração da Microsoft com os clientes permitem-nos aplicar proteções na Microsoft Cloud para proteger os nossos clientes das tentativas de intrusão da Storm-0558. Mitigamos o ataque e entramos em contato com os clientes afetados. Também temos feito parcerias com agências governamentais relevantes, como o DHS CISA. Estamos gratos por eles e outras pessoas estarem trabalhando conosco para ajudar a proteger os clientes afetados e resolver o problema. Somos gratos à nossa comunidade por uma resposta rápida, forte e coordenada.
Mais detalhes para apoiar nossos clientes e a comunidade de defensores podem ser encontrados aqui.
A responsabilidade começa conosco
A responsabilidade começa aqui mesmo na Microsoft. Continuamos firmes em nosso compromisso de manter nossos clientes seguros. Estamos continuamente nos autoavaliando, aprendendo com os incidentes e fortalecendo nossas plataformas de identidade/acesso para gerenciar os riscos em evolução em torno de chaves e tokens.
Precisamos continuar a desafiar os limites da segurança para estarmos preparados para o que quer que possa surgir em nosso caminho. Continuaremos a trabalhar com nossos clientes e comunidade para compartilhar informações e fortalecer nossas defesas coletivas.