„Каскадата от пропуски в сигурността“ на Microsoft, обвинена за китайското хакване на служители на САЩ
„Каскада от пропуски в сигурността“ в Microsoft позволи на подкрепяна от държавата китайска хакерска група да получи достъп до имейл акаунтите на висши служители на правителството на САЩ миналата година, според блестящ доклад от борд за преглед на киберсигурността, публикуван в сряда.
Докладът на Съвета за преглед на кибербезопасността на САЩ, създаден през 2021 г. от президента на САЩ Джо Байдън, описва широко разпространени проблеми с културата на корпоративна сигурност и прозрачност на технологичния гигант , включително калпави практики за киберсигурност, които са оставени без внимание от години. В него се казва, че Microsoft трябва напълно да преразгледа тази култура на сигурност, за да гарантира, че такова „предотвратимо“ нарушение няма да се случи отново.
Най-притеснителното е, че бордът установи, че Microsoft все още не знае как хакерите са проникнали – въпреки публични изявления по това време, твърдящи друго, които останаха некоригирани в продължение на месеци.
„За съжаление, по време на този преглед Бордът идентифицира поредица от оперативни и стратегически решения, които колективно сочат към корпоративна култура в Microsoft, която деприоритизира и двете инвестиции в корпоративна сигурност и стриктно управление на риска“, се казва в доклада.
„Тези решения доведоха до значителни разходи и вреди за клиентите на Microsoft по целия свят. Бордът е убеден, че Microsoft трябва да обърне внимание на своята култура на сигурност.“
Проникването, започнало през май 2023 г. и за първи път идентифицирано от Държавния департамент на САЩ следващия месец, засегна имейлите на Microsoft Exchange Online на 22 организации и повече от 500 души по целия свят. Сред тях са някои от висшите служители на правителството на САЩ, управляващи отношенията между САЩ и Китай, като министъра на търговията на САЩ Джина Раймондо и посланика на САЩ в Китай Никълъс Бърнс.
Свързаната с китайското правителство хакерска група, известна като Storm-0558 проникна в някои имейл акаунти, базирани на облака, за най-малко шест седмици и изтегли около 60 000 имейла само от Държавния департамент, се казва в доклада от 34 страници. Три мозъчни тръста и чуждестранни правителствени организации, включително редица британски организации, са сред компрометираните, се казва в съобщението.
Имейлът, от който се нуждаете за водещите новини за деня от Канада и по света.Хакерите „удариха шпионския еквивалент на златото“, казаха председателят на борда за преглед Робърт Силвърс и заместник-председателят Дмитрий Алперович във встъпително съобщение към доклада.
Панелът направи редица обширни препоръки, включително призовава Microsoft да спре добавянето на функции към своята облачна среда, докато не бъдат направени „съществени подобрения в сигурността“. с конкретни срокове за извършване на фундаментални, фокусирани върху сигурността реформи в цялата компания и пълния й пакет от продукти.“
В изявление Microsoft каза, че оценява разследването на борда и ще „продължи да втвърдява всички наши системи срещу атакуват и прилагат още по-стабилни сензори и регистрационни файлове, за да ни помогнат да открием и отблъснем кибер-армиите на нашите противници.“
Global News се свърза с Канадския център за киберсигурност, който беше сред агенциите, предостави представа и експертен опит по време на прегледа, за коментар на доклада и неговите констатации. Няколко канадски правителствени агенции използват софтуерни продукти на Microsoft, включително облачни изчисления.
Бордът, който е част от Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ, беше свикан от министъра на вътрешната сигурност Алехандро Майоркас през август, за да определи какво е довело до проникването. В доклада се отбелязва, че Microsoft е оказала пълно съдействие при прегледа.
Прегледът заключава, че хакерската група се е възползвала от пропуски в системата за удостоверяване на Microsoft, за да получи ключ, който й е позволил да „получи пълен достъп до почти всеки акаунт в Exchange Online Навсякъде по света." Тези недостатъци също попречиха на Microsoft да идентифицира кражбата на ключа, докато Държавният департамент не уведоми компанията за хакването.
Бордът обвини Microsoft в неточни публични изявления за инцидента – включително издаване на изявление, в което се казва, че вярваше, че е определило вероятната основна причина за проникването, „когато всъщност все още не е“. Microsoft не актуализира тази подвеждаща публикация в блога, публикувана през септември, до средата на март, след като бордът многократно попита дали планира да издаде корекция, каза той.
Докладът отбелязва редица отделни, но свързани инциденти че се казва, че сочат слабата култура на сигурност на Microsoft, включително „неуспехът да се открие компрометиране на лаптоп на служител от наскоро придобита компания, преди да му се позволи да се свърже с корпоративната мрежа на Microsoft през 2021 г.“
Бордът също така изрази загриженост относно отделен хак, разкрит от компанията в Редмънд, Вашингтон през януари - този на имейл акаунти, включително тези на неразкрит брой висши ръководители на Microsoft и неразкрит брой клиенти на Microsoft и приписан на подкрепяни от държавата руски хакери.
Сред най-осъдителните обвинения срещу Microsoft в доклада е включването на цитат от имейл от 2002 г. до служители на Microsoft от съоснователя на компанията и тогавашен главен изпълнителен директор Бил Гейтс, подчертаващ важността да се даде приоритет на сигурността пред добавянето характеристики на своите продукти.
„Нашите продукти трябва да наблягат на сигурността още от кутията и ние трябва непрекъснато да усъвършенстваме и подобряваме тази сигурност с развитието на заплахите“, пише Гейтс. „Тези принципи трябва да се прилагат на всеки етап от цикъла на разработка на всеки вид софтуер, който създаваме, от операционни системи и настолни приложения до глобални уеб услуги.“
Microsoft, заключи бордът, „се е отдалечила от този етос и трябва да го възстанови незабавно като основен корпоративен приоритет.“
Storm-0558, китайската държавна хакерска група, е участвала в подобни прониквания – компрометиране на облачни доставчици или кражба на ключове за удостоверяване, така че може да проникне в акаунти - поне от 2009 г., се казва в доклада, насочен към компании, включително Google, Yahoo, Adobe, Dow Chemical и Morgan Stanley.
Microsoft отбеляза в изявлението си, че замесените хакери са „с добри ресурси участници в заплахата за национална държава, които действат непрекъснато и без значимо възпиране. и критична инфраструктура, както и за демократични избори.
CSE също така предупреди канадците, че могат да бъдат насочени като физически лица от китайски държавни актьори, които може да се опитат да ги подмамят или принудят да разкрият чувствителни данни.
— с файлове от Associated Press
