Nelle scorse settimane sono stati violati degli account di posta elettronica di cui alcuni afferenti ad agenzie governative statunitensi. Secondo fonti ufficiali, l’attacco ha riguardato diverse agenzie e diversi account mail, mentre l’esfiltrazione ha riguardato soprattutto il Dipartimento del Commercio.
Secondo un report del colosso di Redmond, l’incidente è stato provocato dal gruppo hacker Storm-0558 di matrice cinese.
La Microsoft ha tracciato un profilo molto dettagliato e specifico del gruppo APT che ne sarebbe artefice. Si tratta di un gruppo ben organizzato, metodico e ben finanziato, di matrice cinese, conosciuto con il nome di Storm-0558.
Specializzato nell’accesso non autorizzato ad account mail si è fatto conoscere negli anni perché perseguiva gli obiettivi attraverso campagne di phishing o sfruttando i flaw del codice di OAuth nella realizzazione dei token di sessione, campo in cui hanno dimostrato di essere esperti.
Altre competenze di questo gruppo sono gli attacchi WebShells come ChinaChopper insieme a malware della famiglia dei Cigril, virus che possono essere lanciati dirottando le richieste da Dynamic-link Library (DLL).
Le risorse e le tecniche utilizzate dimostrano come il gruppo criminale cinese sia ben addestrato e abbia a disposizione un notevole “arsenale” di attacco.
Infatti, lo scorso giugno, facendo seguito ad una segnalazione giunte da parte di una Agenzia del Governo Federale, Microsoft ha avviato un’indagine, su attività anomale ad oggetto la posta elettronica, riconducibile appunto a Storm-0558.
La strategia di attacco
Si sono potuti osservare eventi MailItemsAccessed, a cui potevano essere associati comportamenti incongruenti di ClientAppID e AppID, rinvenibili dai Logs di Microsoft 365 e determinati misurando gli scostamenti tra le normali risultanze storiche delle attività di Outlook inerenti al funzionamento di AppId, e i log degli eventi MailItemsAccessed.
L’evento MailItemsAccessed, viene generato quando un utente, titolare di licenza, accede agli item delle cassette postali di Exchange Online, indipendentemente dal client e dal protocollo adoperato per la connessione: l’AppId in quel contesto, non dovrebbe normalmente accedere agli item nella casella di posta.
Per violare gli account Exchange Online e Azure AD, è stato utilizzato un token di autenticazione contraffatto grazie ad una chiave di firma dell’account Microsoft (MSA) inattiva.
La chiave è stata adoperata per creare nuovi token di autenticazione sfruttando un difetto dell’API GetAccessTokenForResource.
I token sono successivamente stati utilizzati per l’autenticazione e l’accesso ad account di posta istituzionali delle vittime attraverso le API dei servizi Outlook Web Access in Exchange Online (OWA) e Outlook.com. I token di autenticazione vengono impiegati per certificare una identità nell’atto della richiesta di accesso ad una risorsa. Essi sono assegnati all’entità che ne fa richiesta da un identity provider. A seguito dell’ottenimento del token, l’entità procede con la firma dello stesso attraverso una chiave privata (con lo scopo di autenticarsi) e con l’invio alla risorsa della richiesta di accesso. Quest’ultima validerà il token utilizzando una chiave pubblica.
Il problema è stato riscontrato proprio nella procedura di validazione, infatti un aspetto rilevante nell’analisi dell’incidente, è l’utilizzo da parte degli attaccanti di una chiave MSA privata per firmare token Azure Active Directory. Tale operazione, avrebbe dovuto invalidare i token, dato che, per la firma di un token AAD è necessaria una firma proprietaria dell’Active Directory di Azure: l’accesso è stato garantito sfruttando un Flaw del codice della procedura di validazione.
Per l’appunto le chiavi MSA (consumer) e Azure AD (enterprise) sono emesse e gestite da sistemi separati e dovrebbero essere valide solo per i rispettivi sistemi.
L’epilogo
L’agenzia ha segnalato l’attività a Microsoft e alla Cybersecurity and Infrastructure Security Agency (CISA), come previsto da Executive Order (EO) 14028, Sec.2, par. F/II, atto recante i principi e le raccomandazioni relative alla Cybersecurity Federale.
La CISA (Cybersecurity and Infrastructure Security Agency) e l’FBI, hanno immediatamente diramato le direttive idonee ad affinare i criteri di monitoraggio degli ambienti esposti di Microsoft Exchange destinate alle organizzazioni responsabili delle infrastrutture critiche, al fine di rilevare attività dannose identiche o simili. Durante l’attività malevola, i cybercriminali si sono serviti di diverse tecniche e di una complessa infrastruttura. In particolare, essi hanno adottato script Powershell e Python per eseguire le chiamate alle API OWA servendosi di Tor e di molteplici proxy server di tipo SOCK5 per effettuare le richieste web celando la propria presenza.
Da quanto affermato in un comunicato ufficiale, Microsoft ha completato le attività di mitigazione invalidando e rimpiazzando le chiavi MSA attive al momento dell’attacco, bloccando i token generati attraverso la chiave utilizzata dagli attaccanti e risolvendo la vulnerabilità legata alla validazione errata dei token.