A Microsoft expandiu os recursos de registro gratuito para todas as agências federais dos EUA que usam o Microsoft Purview Audit, independentemente do nível de licença, mais de seis meses depois que uma campanha de espionagem cibernética ligada à China, visando duas dezenas de organizações, veio à tona.
“A Microsoft habilitará maquinalmente os logs nas contas dos clientes e aumentará o período padrão de retenção de logs de 90 para 180 dias”, disse a Sucursal de Segurança Cibernética e de Infraestrutura dos EUA (CISA).
“Ou por outra, esses dados fornecerão novidade telemetria para ajudar mais agências federais a atender aos requisitos de registro exigidos pelo Memorando M-21-31 (Escritório de Gestão e Orçamento).”
A Microsoft, em julho de 2023, divulgou que um grupo de atividade estatal com sede na China, publicado uma vez que Storm-0558, obteve aproximação não autorizado a aproximadamente 25 entidades nos EUA e na Europa, muito uma vez que a um pequeno número de contas de consumidores individuais relacionadas.
“Storm-0558 opera com um elevado intensidade de habilidade técnica e segurança operacional”, observou a empresa. “Os atores estão profundamente conscientes do envolvente do intuito, das políticas de registro, dos requisitos de autenticação, das políticas e dos procedimentos.”
Acredita-se que a campanha tenha começado em maio de 2023, mas foi detectada exclusivamente um mês depois, depois que uma filial federalista dos EUA, mais tarde revelada uma vez que o Departamento de Estado, descobriu atividades suspeitas em registros de auditoria não confidenciais do Microsoft 365 e relatou-as à Microsoft.
A violação foi detectada aproveitando o log polido na Auditoria do Microsoft Purview, especificamente usando a ação de auditoria de caixa de correio MailItemsAccessed que normalmente está disponível para assinantes Premium.
O operário do Windows posteriormente reconheceu que um erro de validação em seu código-fonte permitiu que os tokens do Azure Active Directory (Azure AD) fossem forjados pelo Storm-0558 usando uma chave de assinatura do consumidor da conta da Microsoft (MSA) e, em seguida, usá-los para penetrar nas caixas de correio.
Estima-se que os atacantes tenham roubado pelo menos 60.000 e-mails não confidenciais de contas do Outlook pertencentes a funcionários do Departamento de Estado estacionados no Leste Asiático, no Pacífico e na Europa, informou a Reuters em setembro de 2023. Pequim negou as acusações.
Também enfrentou um intenso escrutínio por reter capacidades de registo básicas, mas cruciais, a entidades que estão no projecto mais custoso E5 ou G5, o que levou a empresa a fazer alterações.
“Reconhecemos a influência vital que o registro avançado desempenha para permitir que as agências federais detectem, respondam e previnam até mesmo os ataques cibernéticos mais sofisticados de atores patrocinados pelo estado e com bons recursos”, disse Candice Ling, da Microsoft. “Por esse motivo, temos colaborado com todo o governo federalista para fornecer aproximação a registros de auditoria avançados”.
