La decennale battaglia politica ed economica tra Stati Uniti e Cina si gioca anche sul piano informatico, e ogni tanto entrano in gioco anche le nazioni europee appartenenti al Patto Atlantico. L’ultima campagna di cyberspionaggio di cui si ha notizia è quella del gruppo hacker cinese battezzato Storm-0558, che ha colpito circa 25 organizzazioni statunitensi ed europee (Europa Occidentale), incluse agenzie governative, attraverso la posta elettronica di Outlook.
A svelarlo è stata l’azienda fornitrice del servizio, Microsoft, che ha avviato un’indagine sul caso lo scorso 16 giugno in seguito ad alcune segnalazioni di “attività insolita” nella posta elettronica. Dalle indagini è emerso che gli hacker avrebbero trovato accesso alle caselle di posta tramite Outlook Web Access in Exchange Online (Owa) e Outlook.com, grazie alla contraffazione dei token di autenticazione. Questi ultimi sarebbero stati generati grazie alla consumer signing key di un account Microsoft, precedentemente sottratta. I token sono stati sfruttati per impersonare utenti Azure AD e accedere a email di tipo aziendale.
Microsoft descrive Storm-0558 come un collettivo hacker residente in Cina, “ben fornito di risorse” e mosso da scopi di cyberspionaggio. Il gruppo avrebbe raccolto per settimane (a partire almeno da metà maggio) informazioni di intelligence dalle caselle email di circa 25 organizzazioni statunitense ed europee, tra cui anche agenzie governative. Appurati i fatti, Microsoft ha applicato misure di mitigazione dell’attacco (tra cui il blocco dell’utilizzo dei token sfruttati e la sostituzione della signing key) e ha allertato le autorità e le organizzazioni coinvolte.
Sebbene il numero dei 25 target colpiti sia modesto, questo non è indicativo della potenziale gravità dell’attacco, perché le operazioni di cyberspionaggio si valutano sul tipo di informazioni sottratte e non sui volumi. Naturalmente, su questo si sa poco o nulla. Intervistato dal canale televisivo Abc, il consulente di sicurezza nazionale della Casa Bianca, Jake Sullivan, ha affermato che la violazione è stata individuata in modo rapido, e che ciò ha permesso di evitare ulteriori attacchi. Adam Hodge, portavoce del National Security Council, ha invece fatto sapere che l’intrusione ha colpito “sistemi non confidenziali”, senza però fornire ulteriori dettagli.