Italiano 
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Mitigazione per la Cina
11 luglio 2023 | Charlie Bell: Vicepresidente esecutivo, Microsoft Security
Microsoft e altri operatori del settore hanno chiesto trasparenza quando si tratta di incidenti informatici in modo che possiamo imparare e migliorare. Come affermato in precedenza, non possiamo ignorare l'aumento esponenziale e la frequenza degli attacchi sofisticati. Le crescenti sfide che affrontiamo non fanno altro che rafforzare il nostro impegno verso una maggiore condivisione delle informazioni e la partnership industriale.
Oggi pubblichiamo i dettagli dell'attività di un attore con sede in Cina che Microsoft sta monitorando come Storm-0558 che ha ottenuto l'accesso agli account di posta elettronica che interessano circa 25 organizzazioni, tra cui agenzie governative, nonché i relativi account di consumatori di individui probabilmente associati a queste organizzazioni. Abbiamo collaborato con i clienti interessati e li abbiamo informati prima di rendere pubblici ulteriori dettagli. In questa fase, e in coordinamento con i clienti, stiamo condividendo i dettagli dell’incidente e dell’autore della minaccia a vantaggio del settore.
Gli attacchi informatici continuano ad aumentare in sofisticatezza e frequenza
Gli autori delle minacce motivati continuano a concentrarsi sulla compromissione dei sistemi IT. Questi avversari dotati di risorse adeguate non fanno alcuna distinzione tra il tentativo di compromettere account aziendali o personali associati a organizzazioni prese di mira, poiché è sufficiente un solo accesso all'account compromesso con successo per ottenere un accesso persistente, esfiltrare informazioni e raggiungere obiettivi di spionaggio. L'autore della minaccia che Microsoft collega a questo incidente è un avversario con sede in Cina che Microsoft chiama Storm-0558. Riteniamo che questo avversario sia concentrato sullo spionaggio, ad esempio sull'accesso ai sistemi di posta elettronica per la raccolta di informazioni di intelligence. Questo tipo di avversario motivato dallo spionaggio cerca di abusare delle credenziali e ottenere l'accesso ai dati che risiedono in sistemi sensibili.
Mitigazione completata per tutti i clienti
Il 16 giugno 2023, sulla base delle informazioni segnalate dai clienti, Microsoft ha avviato un'indagine sull'attività di posta anomala. Nelle settimane successive, la nostra indagine ha rivelato che a partire dal 15 maggio 2023, Storm-0558 ha ottenuto l’accesso ai dati di posta elettronica di circa 25 organizzazioni e a un piccolo numero di account consumer correlati di individui probabilmente associati a queste organizzazioni. Lo hanno fatto utilizzando token di autenticazione contraffatti per accedere alla posta elettronica degli utenti utilizzando una chiave di firma consumer dell'account Microsoft (MSA) acquisita. Microsoft ha completato la mitigazione di questo attacco per tutti i clienti.
Abbiamo aggiunto sostanziali rilevamenti automatizzati per indicatori noti di compromissione associati a questo attacco per rafforzare le difese e gli ambienti dei clienti e non abbiamo trovato prove di ulteriori accessi.
Chiave di risposta coordinata per una mitigazione rapida
L'indagine in tempo reale e la collaborazione con i clienti di Microsoft ci consentono di applicare protezioni nel cloud Microsoft per proteggere i nostri clienti dai tentativi di intrusione di Storm-0558. Abbiamo mitigato l'attacco e abbiamo contattato i clienti interessati. Collaboriamo anche con agenzie governative competenti come DHS CISA. Siamo grati che loro e altri stiano lavorando con noi per proteggere i clienti interessati e risolvere il problema. Siamo grati alla nostra comunità per una risposta rapida, forte e coordinata.
Maggiori dettagli per supportare i nostri clienti e la comunità dei difensori possono essere trovati qui.
La responsabilità inizia da noi
La responsabilità inizia proprio qui in Microsoft. Rimaniamo fermi nel nostro impegno per garantire la sicurezza dei nostri clienti. Ci autovalutiamo continuamente, impariamo dagli incidenti e rafforziamo le nostre piattaforme di identità/accesso per gestire i rischi in evoluzione relativi a chiavi e token.
Dobbiamo continuare a spingere oltre i limiti in materia di sicurezza in modo da essere preparati a qualunque cosa possa capitarci. Continueremo a lavorare con i nostri clienti e la comunità per condividere informazioni e rafforzare le nostre difese collettive.