微软表示中国黑客入侵了电子邮件 - 彭博社
William Turton, Leah Nylen, Sarah Zheng
摄影师:Victor J. Blue/Bloomberg美国商务部长吉娜·雷蒙多(Gina Raimondo)是美国官员之一,其电子邮件在一次微软公司称起源于中国的政府账户黑客攻击中遭到侵犯,一位知情人士透露。
雷蒙多一直是一个重要的美国人物,实施对中国先进半导体技术的出口限制措施,北京方面谴责这些举措破坏了自由贸易和全球供应链稳定性。该知情人士要求不透露身份,因为讨论尚未公开的信息。
吉娜·雷蒙多摄影师:Eric Lee/Bloomberg美国商务部发言人拒绝置评或确认雷蒙多电子邮件被入侵的消息,此前《华盛顿邮报》曾报道。微软公司周三晚间也拒绝置评。
根据政府官员和微软的说法,美国商务部和国务院以及西欧的机构也遭到了攻击。
商务部发言人周三早些时候表示,在接到微软通知部门遭到入侵的消息后,商务部立即采取了行动。
在周四被问及美国官员遭到黑客攻击的说法时,中国外交部表示,“美国应尽快说明其网络攻击行为,而不是散布虚假信息和转移注意力。”
上个月,美国国务院发现异常活动并警告微软遭受攻击,一位发言人表示,该机构没有理由怀疑黑客是在中国的,黑客入侵了微软Outlook账户。
“公司的后续调查确定黑客访问并窃取了少量未分类的Exchange Online Outlook数据,”美国网络安全和基础设施安全局(CISA)的一份声明称。
尚不清楚其他美国机构受到了什么影响,但一位高级官员表示,受影响的机构数量在个位数。
美国官员将这些攻击描述为有针对性的,专注于少数机构的少量账户,而不是试图窃取大量数据的黑客攻击。CISA和FBI发布了一份联合通告,敦促组织加强其Microsoft 365云环境的安全。
这次黑客活动是在国务卿安东尼·布林肯前往北京与中国国家主席习近平等高级官员会晤之前几周开始的,官员们表示。
在周二晚间发布的一篇博客文章中,微软将发动攻击的组织称为基于中国的Storm-0558,称这些黑客在5月中旬从大约25家组织的电子邮件数据中获取访问权限后,能够在一个月内保持不被发现。
“我们评估这个对手专注于间谍活动,比如获取电子邮件系统以进行情报收集,”微软执行副总裁查理·贝尔在另一篇文章中写道。文章。
目前还不清楚哪些欧洲政府受到影响。意大利网络安全官员表示,他们正在与微软联系,“以确定可能涉及最新攻击的意大利相关人员。”
在周三的例行吹风会上,中国外交部发言人汪文斌被问及这些发现时,指责美国是世界上最大的网络攻击者。
黑客使用“伪造的认证令牌访问用户电子邮件,使用获得的微软账户(MSA)消费者签名密钥,”微软的贝尔在他的文章中说。然后,黑客能够访问由微软运行和操作的Outlook电子邮件系统。
但黑客是如何获得使他们能够访问这些电子邮件的签名密钥的仍然未知。
“这里真正的大问题是他们从哪里获取了MSA密钥来签署令牌,”专门研究微软产品的计算机安全专家萨米·莱霍说。莱霍表示,一个可能的解释是微软本身遭受了入侵。
微软并未立即回应有关黑客如何获得签名密钥的评论请求。
这位高级官员利用这次违规事件的消息来强调微软与美国政府之间的紧张关系的一个焦点:日志记录。日志允许网络安全调查人员挖掘自己系统上留下的数字线索,以确定是否遭受了黑客攻击以及可能的责任方。
更高级的日志记录可以捕获和记录用户执行的细粒度操作,比如某个特定电子邮件是否被访问。问题在于微软是否应该将日志记录作为面向政府客户的高级附加组件出售,还是免费包含在其产品中。
缺乏日志记录使对所谓的SolarWinds攻击的调查变得复杂,该攻击于2020年披露。在那一事件中,俄罗斯政府支持的黑客在由SolarWinds Corp.制作的软件中安装了恶意更新,安装了数字后门,然后可以进一步渗透SolarWinds的客户。最终,约9个美国机构和约100家公司通过SolarWinds更新和其他方法遭受了侵害。
在SolarWinds攻击之后的一年左右,微软免费提供了其高级日志记录功能。CISA和其他人表示日志应该是免费的,坚持认为它们对于检测和调查安全事件至关重要。
周三,高级官员表示,一些受影响的美国机构支付了高级日志记录功能,并能够自行检测到入侵。保留日志的微软能够识别其他未付费日志记录的被黑客入侵的机构。
要求组织支付更好的日志记录是导致对网络中发生的情况视野不足的方案,该官员表示,这个问题需要紧急关注。