Η Microsoft θα μπορούσε να είχε αποτρέψει κινεζική κυβερνοεπίθεση

Μια νέα έκθεση από την Επιτροπή Αναθεώρησης για την Ασφάλεια στον Κυβερνοχώρο των ΗΠΑ διαπίστωσε ότι η Microsoft θα μπορούσε να είχε αποτρέψει Κινέζους χάκερ από το να παραβιάσουν τα κυβερνητικά μηνύματα ηλεκτρονικού ταχυδρομείου των ΗΠΑ μέσω του λογισμικού Microsoft Exchange Online πέρυσι.

Το περιστατικό, που περιγράφεται ως «καταρράκτης αποτυχιών ασφαλείας» της Microsoft, επέτρεψε σε Κινέζους, κρατικά χορηγούμενους, χάκερ να αποκτήσουν πρόσβαση στα ηλεκτρονικά εισερχόμενα email 22 οργανισμών, επηρεάζοντας περισσότερα από 500 άτομα, συμπεριλαμβανομένων υπαλλήλων της κυβέρνησης των ΗΠΑ που εργάζονται για την εθνική ασφάλεια.

Επένδυση μαμούθ της Microsoft για τη δημιουργία AI κέντρων δεδομένων

Ανάλογο, καυστικό, πόρισμα εξέδωσε και το αμερικανικό υπουργείο Εσωτερικής Ασφάλειας (DHS), στο οποίο υπάγεται η Επιτροπή Αναθεώρησης, αφού διαπίστωσε ότι το χακάρισμα μπορούσε να αποφευχθεί και ότι ορισμένες αποφάσεις στο εσωτερικό της Microsoft συνέβαλαν σε «μια εταιρική κουλτούρα που απομάκρυνε τις επενδύσεις σε εταιρική ασφάλεια και την αυστηρή διαχείριση κινδύνου».

Οι χάκερ ένα κλειδί καταναλωτή για εμπορικό λογαριασμό της Microsoft ώστε να πλαστογραφήσουν διακριτικά για την πρόσβαση στο Outlook (OWA) μέσω της έκδοσης web και του Outlook.com. Το πόρισμα καθιστά σαφές ότι η Microsoft εξακολουθεί να μην είναι σίγουρη πώς ακριβώς κλάπηκε το κλειδί, αλλά η βασική θεωρία είναι ότι το κλειδί ήταν μέρος ενός λεγόμενου crash dump, δηλαδή ενός αρχείου ένδειξης σφαλμάτων.

Η Microsoft αναφέρθηκε και η ίδια σε αυτή τη θεωρία τον Σεπτέμβριο και πρόσφατα ενημέρωσε με ανάρτηση για να παραδεχτεί ότι «δεν βρήκαμε ένα crash dump που να περιέχει το επηρεασμένο βασικό υλικό».

Χωρίς πρόσβαση σε αυτό το crash dump, η Microsoft δεν μπορεί να είναι σίγουρη πώς ακριβώς κλάπηκε το κλειδί. «Η κύρια υπόθεσή μας παραμένει ότι τα λειτουργικά σφάλματα είχαν ως αποτέλεσμα το βασικό υλικό να εγκαταλείπει το ασφαλές περιβάλλον υπογραφής διακριτικών στο οποίο στη συνέχεια έγινε πρόσβαση σε ένα περιβάλλον εντοπισμού σφαλμάτων μέσω ενός παραβιασμένου λογαριασμού μηχανικής», αναφέρει η Microsoft στην ενημερωμένη ανάρτηση.

Η Microsoft αναγνώρισε στην Επιτροπή Αναθεώρησης Κυβερνοασφάλειας τον Νοέμβριο ότι η ανάρτησή της του Σεπτεμβρίου ήταν ανακριβής, αλλά διορθώθηκε μόνο μήνες αργότερα, στις 12 Μαρτίου «μετά από επανειλημμένες ερωτήσεις του Συμβουλίου σχετικά με τα σχέδια της Microsoft να εκδώσει διόρθωση». Ενώ η Microsoft συνεργάστηκε πλήρως με την έρευνα του συμβουλίου, το συμπέρασμα είναι ότι η κουλτούρα ασφαλείας της Microsoft χρειάζεται αναθεώρηση.

«Το Διοικητικό Συμβούλιο διαπιστώνει ότι αυτή η εισβολή μπορούσε να αποφευχθεί και δεν θα έπρεπε ποτέ να είχε συμβεί», λέει το Συμβούλιο Αναθεώρησης της Κυβερνοασφάλειας. «Το Διοικητικό Συμβούλιο καταλήγει επίσης στο συμπέρασμα ότι η κουλτούρα ασφαλείας της Microsoft ήταν ανεπαρκής και απαιτεί αναθεώρηση, ιδίως υπό το φως της κεντρικής θέσης της εταιρείας στο τεχνολογικό οικοσύστημα και του επιπέδου εμπιστοσύνης που αποδίδουν οι πελάτες στην εταιρεία για την προστασία των δεδομένων και των λειτουργιών τους».

Τα ευρήματα από το συμβούλιο έρχονται την ίδια εβδομάδα που η Microsoft κυκλοφόρησε το Copilot for Security, ένα chatbot με τεχνητή νοημοσύνη, σχεδιασμένο για επαγγελματίες της κυβερνοασφάλειας. Η Microsoft χρεώνει τις επιχειρήσεις 4 δολάρια ανά ώρα χρήσης, ακριβώς τη στιγμή που η εταιρεία παλεύει με μια συνεχιζόμενη επίθεση από Ρώσους χάκερ που χρηματοδοτούνται από το ρωσικό κράτος.

Η Nobelium, η ίδια ομάδα πίσω από την επίθεση στην SolarWinds, κατάφερε να κατασκοπεύει ορισμένα εισερχόμενα email στελεχών της Microsoft για μήνες. Αυτή η αρχική εισβολή οδήγησε επίσης στην κλοπή μέρους από τον πηγαίο κώδικα της Microsoft, με την ίδια την εταιρεία να παραδέχεται πρόσφατα ότι η ομάδα είχε πρόσβαση στα αποθετήρια πηγαίου κώδικα και στα εσωτερικά συστήματα της εταιρείας.

Η Microsoft προσπαθεί τώρα να αναθεωρήσει την ασφάλεια του λογισμικού της μετά την παραβίαση των email της κυβέρνησης των ΗΠΑ πέρυσι και παρόμοιες επιθέσεις στον κυβερνοχώρο τα τελευταία χρόνια. Το νέο Secure Future Initiative (SFI) της Microsoft έχει σχεδιαστεί για να αναθεωρήσει τον τρόπο με τον οποίο σχεδιάζει, κατασκευάζει, δοκιμάζει και λειτουργεί το λογισμικό και τις υπηρεσίες της. Είναι η μεγαλύτερη αλλαγή στις προσπάθειες ασφαλείας της Microsoft από τότε που η εταιρεία παρουσίασε τον Κύκλο Ζωής Ανάπτυξης Ασφαλείας (SDL) το 2004 μετά το καταστροφικό «σκουλήκι» Blaster που έπληξε μηχανήματα με Windows XP εκτός σύνδεσης το 2003.