Hacker China menyerang email milik staf pemerintah Amerika Serikat (AS) dengan memanfaatkan bug yang ada di layanan Microsoft Cloud.
Serangan ini telah dikonfirmasi oleh raksasa teknologi Microsoft.
Microsoft menyebut kelompok peretasan Storm-0558 telah membobol sekitar 25 akun email, di antaranya adalah lembaga pemerintah. “Storm” adalah nama panggilan yang digunakan oleh Microsoft untuk melacak kelompok peretasan yang baru muncul atau sedang berkembang.
Dikutip dari TechCrunch, Microsoft sebetulnya belum mengidentifikasi lembaga pemerintah yang menjadi sasaran Storm-0558.
Namun, Juru bicara Dewan Keamanan Nasional Gedung Putih Adam Hodge mengonfirmasi lembaga pemerintah AS terkena dampaknya serangan ini.
“Bulan lalu, otoritas pengamanan pemerintah AS mengidentifikasi adanya penyusupan pada keamanan cloud Microsoft, yang memengaruhi sistem yang tidak diklasifikasikan,” kata Hodge dalam sebuah pernyataan.
“Para pejabat segera menghubungi Microsoft untuk menemukan sumber dan kerentanan dalam layanan cloud mereka. Kami terus meminta penyedia pengadaan dari pemerintah AS untuk menerapkan ambang batas keamanan yang tinggi,” tambahnya.
Investigasi Microsoft menetapkan Storm-0558 sebagai kelompok peretasan yang berbasis di China.
Kelompok ini digambarkan oleh Microsoft sebagai musuh yang “memiliki sumber daya yang baik”, mendapatkan akses ke akun email menggunakan Outlook Web Access di Exchange Online (OWA) dan Outlook.com dengan memalsukan token otentikasi untuk mengakses akun pengguna.
Dalam analisis teknis serangan tersebut, Microsoft menjelaskan para peretas menggunakan kunci signing konsumen Microsoft untuk memalsukan token untuk mengakses OWA dan Outlook.com.
Kemudian, para peretas mengeksploitasi masalah validasi token untuk menyamar sebagai pengguna Azure AD dan mendapatkan akses ke akun email perusahaan.
Aktivitas jahat Storm-0885 tidak terdeteksi selama sekitar satu bulan hingga pelanggan memperingatkan Microsoft tentang aktivitas email yang tidak wajar.
“Kami menilai musuh ini berfokus pada spionase, seperti mendapatkan akses ke sistem email untuk pengumpulan informasi intelijen. Musuh yang termotivasi oleh spionase seperti ini berusaha menyalahgunakan kredensial dan mendapatkan akses ke data yang ada di sistem yang sensitif,” ujar Charlie Bell, eksekutif keamanan siber Microsoft.
Microsoft mengatakan serangan tersebut berhasil dimitigasi dan Storm-0558 tidak lagi memiliki akses ke akun-akun yang disusupi. Namun, perusahaan tidak mengatakan apakah ada data sensitif yang disusupi selama periode sebulan penuh yang diakses oleh penyerang.
Sementara itu, Badan keamanan siber AS, CISA, mengatakan dalam sebuah peringatan bahwa para penyerang mengakses data email yang tidak diklasifikasikan.