Um ator de ameaças baseado na China obteve acesso a uma chave criptográfica da conta Microsoft (MSA) em 2021 e a utilizou para espionar os Departamentos de Estado e Comércio dos EUA, bem como outras agências governamentais americanas.

Uma série de eventos permitiu que o adversário apoiado pela China, identificado pela Microsoft como Storm-0558, tivesse acesso “lícito” às contas do Exchange Online e Azure Active Directory (agora chamado Microsoft Entra ID) de 25 organizações.

Algum tempo depois, o Storm-0558 comprometeu a conta corporativa de um engenheiro da Microsoft. A Microsoft analisou o comprometimento e como a chave de assinatura foi usada para acessar os sistemas de e-mail Outlook baseados na nuvem de 25 organizações em uma série de postagens em blog em julho de 2023, mas não explicou como o ator de ameaças obteve a chave.

Em uma análise forense publicada em 6 de setembro, a empresa revelou que a conta corporativa comprometida provavelmente tinha acesso ao ambiente de depuração onde a chave MSA ainda estava armazenada.

“Devido às políticas de retenção de logs, não temos logs com evidência específica desta exfiltração por este ator, mas este foi o mecanismo mais provável pelo qual o ator adquiriu a chave”, disse a Microsoft.

Isso permitiu ao ator de ameaças forjar tokens de acesso assinados e se passar por contas alvo dentro das 25 organizações. Segundo a Microsoft, a campanha só permitiu ao Storm-0558 acessar o Exchange Online e o Outlook.