L’annuncio è di quelli che fanno rumore, soprattutto perché arriva da un analista di tutto rispetto: il blog della Microsoft.
Ebbene, secondo la società di Redmond, appena pochi giorni fa un gruppo hacker con base in Cina avrebbe violato un cospicuo pacchetto di account di posta elettronica collegati ad agenzie governative nell’Europa occidentale.
La violazione sarebbe stata opera di un gruppo identificato come Storm-0558, che già in passato si è distinto per azioni di spionaggio e furto di dati. Il gruppo avrebbe violato gli account di posta elettronica di circa 25 organizzazioni, tra cui appunto alcune agenzie governative, e gli account di persone collegate a queste organizzazioni.
La cosa singolare di questo attacco, è che è passato inosservato per circa un mese, almeno fino a quando i clienti hanno segnalato a Microsoft l’attività di posta anomala. Ma come hanno agito gli hacker stavolta? I pirati sarebbero riusciti a falsificare i token di autenticazione, che servono per verificare l’identità dell’utente, e quindi ad accedere agli account di posta elettronica.
“Riteniamo che l’obiettivo di questo gruppo sia lo spionaggio, ad esempio l’accesso ai sistemi di posta elettronica per la raccolta di informazioni”, la dichiarazione di Charlie Bell, vicepresidente esecutivo della sicurezza di Microsoft. Microsoft ha dichiarato che per affrontare la vicenda ha collaborato con il Department of Homeland Security e la Cybersecurity and Infrastructure Security Agency.
In un post successivo del suo blog Microsoft ha spiegato che il gruppo cinese in passato avrebbe operato sfruttando massicce campagne di phishing, appoggiandosi a prevalentemente a malware come Cigril. Per chi volesse approfondire gli aspetti tecnici, il secondo post si può ritrovare a questo indirizzo: https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/ .
La vicenda ancora una volta conferma l’importanza di proteggere le proprie reti ed affidarsi a specialisti del settore della cybersecurity, che siano in grado di testare la tenuta delle nostre protezioni e intervenire quando serve. L’accesso tramite token falsificati al momento sembra rappresentare una nuova frontiera della minaccia kacker.