Ostatnie doniesienia o ataku na Microsoft nie są jedynie kolejnym newsem w morzu cyberzagrożeń. To wydarzenie wstrząsnęło branżą IT i ujawniło lukę, która budzi poważne pytania dotyczące bezpieczeństwa i outsourcingu. Z pozoru zwyczajny atak na serwery Exchange Online okazał się misternie zaplanowaną operacją, której tło stanowią powiązania z chińskimi zespołami wsparcia.
Co tak naprawdę się stało?
Według najnowszego raportu „Cyber Safety Review Board” (CSRB), cyberatak z lipca 2024 r., który uderzył w agencje rządowe USA, w tym Departament Stanu, miał związek z błędami w tokenach uwierzytelniających Microsoftu. Kluczowy wektor ataku opierał się na wykradzeniu token signing key, co pozwoliło hakerom podszywać się pod dowolnych użytkowników w chmurze Microsoftu, w tym pod konta z uprawnieniami administratorów. Co gorsza, problem nie dotyczył popularnej wersji chmurowej (Microsoft 365), ale instalacji “on-premise”, a więc tych najbardziej wrażliwych.
Atak został przypisany grupie hakerskiej Storm-0558, która, według analityków, działa z terytorium Chin i może być wspierana przez tamtejsze służby państwowe. Co więcej, CSRB jednoznacznie stwierdza, że incydent „był możliwy do uniknięcia”, gdyby Microsoft wcześniej wdrożył odpowiednie procedury bezpieczeństwa i reagował na wcześniejsze ostrzeżenia ekspertów.
Już od początku lipca dwie chińskie grupy powiązane ze strukturami państwowymi, Linen Typhoon oraz Violet Typhoon, rozpoczęły masowe wykorzystywanie tej luki. Ich działania wykryto na całym świecie. Co więcej, również kolejna grupa, Storm-2603, dołączyła do cyberofensywy.
Kluczowe detale techniczne
Jakim cudem doszło do tego ataku? Okazuje się, że atakujący wykorzystali luki w oprogramowaniu Microsoftu, które nie były do tej pory znane. Największą kontrowersją jest jednak fakt, że w rozwój i wsparcie tego konkretnego oprogramowania, zaangażowane były zespoły z Chin.
Według niepotwierdzonych doniesień, to właśnie w chińskich biurach Microsoftu mogło dojść do kompromitacji klucza prywatnego, który był używany do podpisywania tokenów uwierzytelniających. Dostęp do tego klucza pozwolił hakerom na generowanie fałszywych tokenów, które system Microsoftu traktował jako autentyczne. To jakby złodziej zdobył główny klucz do Twojego biura i mógł swobodnie podrabiać klucze dla innych pracowników, a system bezpieczeństwa uznawałby je za legalne.
Rola chińskich zespołów
Tu zaczyna się najciekawsza i najbardziej niepokojąca część historii. Okazuje się, że Microsoft korzystał z outsourcingu w Chinach, powierzając lokalnym zespołom nie tylko wsparcie techniczne, ale również dostęp do krytycznych segmentów infrastruktury. To rodzi pytania, na które branża IT musi znaleźć odpowiedź. Czy korporacje pokroju Microsoftu powinny w tak newralgicznych obszarach polegać na zewnętrznych, zagranicznych zespołach?
Raporty sugerują, że to właśnie w chińskim centrum wsparcia mogło dojść do wycieku. Co więcej, specjaliści z Microsoftu mieli trudności z dogłębnym audytem kodu pisanego przez chińskich inżynierów, co jeszcze bardziej podważało bezpieczeństwo całego ekosystemu. To idealny przykład na to, jak łańcuch dostaw, który w IT jest często globalny, może stać się najsłabszym ogniwem.
Jak bardzo zagrożeni byli użytkownicy?
W skrócie: bardzo. SharePoint gromadzi firmowe pliki, strategiczne dokumenty, a także umożliwia dostęp do wewnętrznych aplikacji. Wyciek tego typu danych może oznaczać kompromitację całych organizacji. Atakujący nie tylko uzyskiwali wgląd do zasobów, ale również kradli dane uwierzytelniające i torowali sobie drogę do głębszych warstw systemu. W praktyce mogli swobodnie poruszać się po całej sieci, eskalować uprawnienia, wykradać kluczowe informacje lub wywoływać zaburzenia działalności firmy.
Atak na Microsoft to przypomnienie, że nawet giganci technologiczni nie są nietykalni. To wydarzenie z pewnością wpłynie na to, jak duże korporacje będą w przyszłości zarządzać swoim bezpieczeństwem i łańcuchem dostaw
