Nelle scorse settimane sono stati violati degli account di posta elettronica di cui alcuni afferenti ad agenzie governative statunitensi. Secondo fonti ufficiali, l’attacco ha riguardato diverse agenzie e diversi account mail, mentre l’esfiltrazione ha riguardato soprattutto il Dipartimento del Commercio.
Indice degli argomenti
Il cyber attacco spiegato da Microsoft
La Microsoft ha tracciato un profilo molto dettagliato e specifico del gruppo APT che ne sarebbe artefice. Si tratta di un gruppo ben organizzato, metodico e ben finanziato, di matrice cinese, conosciuto con il nome di Storm-0558.
Specializzato nell’accesso non autorizzato ad account mail si è fatto conoscere negli anni perché perseguiva gli obiettivi attraverso campagne di phishing o sfruttando i flaw del codice di OAuth nella realizzazione dei token di sessione, materia questa che hanno dimostrato di padroneggiare.
Altro marchio di fabbrica di questo gruppo sono gli attacchi WebShells come ChinaChopper in abbinato a malware della famiglia dei Cigril, malware che possono essere lanciati dirottando le richieste da Dynamic-link Library (DLL).
Violate e-mail di funzionari USA e UE, sale la tensione con la Cina: nuovi scenari di cyberwar
Un gruppo di cyber criminali ben addestrati
Le risorse e le tecniche utilizzate dimostrano come il gruppo criminale cinese sia ben addestrato e abbia a disposizione un notevole “arsenale” di attacco.
Infatti, lo scorso giugno, facendo seguito ad una segnalazione giunte da parte di una Agenzia del Governo Federale, Microsoft ha avviato un’indagine, su attività anomale ad oggetto la posta elettronica, riconducibile appunto a Storm-0558.
La strategia di attacco
Si sono potuti osservare eventi MailItemsAccessed, a cui potevano essere associati comportamenti incongruenti di ClientAppID e AppID, rinvenibili dai Logs di Microsoft 365 e determinati misurando gli scostamenti tra le normali risultanze storiche delle attività di Outlook inerenti al funzionamento di AppId, e i log degli eventi MailItemsAccessed.
L’evento MailItemsAccessed, viene generato quando un utente, titolare di licenza, accede agli item delle cassette postali di Exchange Online, indipendentemente dal client e dal protocollo adoperato per la connessione: l’AppId in quel contesto, non dovrebbe normalmente accedere agli item nella casella di posta.
Per violare gli account Exchange Online e Azure AD, è stato utilizzato un token di autenticazione contraffatto grazie ad una chiave di firma dell’account Microsoft (MSA) inattiva.
La chiave è stata adoperata per creare nuovi token di autenticazione sfruttando un difetto dell’API GetAccessTokenForResource.
I token sono successivamente stati utilizzati per l’autenticazione e l’accesso ad account di posta istituzionali delle vittime attraverso le API dei servizi Outlook Web Access in Exchange Online (OWA) e Outlook.com.
I token di autenticazione vengono impiegati per certificare una identità nell’atto della richiesta di accesso ad una risorsa. Essi sono assegnati all’entità che ne fa richiesta da un identity provider.
A seguito dell’ottenimento del token, l’entità procede con la firma dello stesso attraverso una chiave privata (con lo scopo di autenticarsi) e con l’invio alla risorsa della richiesta di accesso. Quest’ultima validerà il token utilizzando una chiave pubblica.
Scoperte vulnerabilità zero-day in Microsoft Exchange: ecco come mitigare il rischio
Quel difetto nella procedura di validazione
Un aspetto rilevante, nell’analisi dell’incidente, è l’utilizzo da parte degli attaccanti di una chiave MSA privata per firmare token Azure Active Directory. Tale operazione, avrebbe dovuto invalidare i token, dato che, per la firma di un token AAD è necessaria una firma proprietaria dell’Active Directory di Azure: l’accesso è stato garantito sfruttando un Flaw del codice della procedura di validazione.
Per l’appunto le chiavi MSA (consumer) e Azure AD (enterprise) sono emesse e gestite da sistemi separati e dovrebbero essere valide solo per i rispettivi sistemi.
L’agenzia ha segnalato l’attività a Microsoft e alla Cybersecurity and Infrastructure Security Agency (CISA), come previsto da Executive Order (EO) 14028, Sec.2, par. F/II, atto recante i principi e le raccomandazioni relative alla Cybersecurity Federale.
Le direttive di CISA ed FBI
La CISA (Cybersecurity and Infrastructure Security Agency) e l’FBI, hanno immediatamente diramato le direttive idonee ad affinare i criteri di monitoraggio degli ambienti esposti di Microsoft Exchange destinate alle organizzazioni responsabili delle infrastrutture critiche, al fine di rilevare attività dannose identiche o simili.
Durante l’attività malevola, i cybercriminali si sono serviti di diverse tecniche e di una complessa infrastruttura. In particolare, essi hanno adottato script Powershell e Python per eseguire le chiamate alle API OWA servendosi di Tor e di molteplici proxy server di tipo SOCK5 per effettuare le richieste web celando la propria presenza.
Da quanto affermato in un comunicato ufficiale, Microsoft ha completato le attività di mitigazione invalidando e rimpiazzando le chiavi MSA attive al momento dell’attacco, bloccando i token generati attraverso la chiave utilizzata dagli attaccanti e risolvendo la vulnerabilità legata alla validazione errata dei token.
La CISA, per altro canto, ha sottolineato quale sia in tale contesto, l’importanza di servizi come quelli erogati da un SOC, sottolineando l’importanza di strumenti come il SIEM e il SOAR, anche in questi casi in cui, buona parte della vigilanza è deputata al fornitore del servizio in CLOUD.
