Hackeri chinezi au stat 18 luni în Microsoft 365 fără să fie observați

Vreme de aproape un an și jumătate, un grup de hackeri chinezi legați de un stat a citit e-mailuri de serviciu, a deschis fișiere interne și s-a mișcat prin rețelele unor companii părând, pentru orice instrument de monitorizare, un angajat obișnuit care se conectează ca să lucreze. Intruziunea, descrisă de firma de securitate Volexity, nu a spart Microsoft 365. S-a dat drept cei care aveau deja cheile.

Această distincție este toată povestea și explică de ce breșa privește pe oricine lucrează în interiorul unui cont din cloud. Microsoft 365 este astăzi locul unde majoritatea companiilor își țin corespondența, documentele și identitatea de autentificare unică ce deschide tot restul. Atacatorii nu au fost nevoiți niciodată să învingă acel sistem. Au împrumutat o autentificare validă și au intrat pe ușa din față, iar apărările gândite să întrebe „chiar tu ești?” au hotărât că da.

Grupul este urmărit sub numele UNC5221, cunoscut și ca VerdantBamboo, o operațiune de sorginte chineză pe care cercetătorii o observă de ani de zile fiindcă atacă dispozitivele de la marginea rețelelor de companie. Campania sa recentă a lovit firme de servicii juridice, companii de software, furnizori de externalizare a proceselor și companii de tehnologie. Nu sunt ținte la întâmplare: sunt organizații care păstrează secretele altor organizații, de la dosarele clienților la codul-sursă și la cheile care ajung la clienții din aval.

Arsenalul explică de ce accesul a rămas invizibil atâta vreme. Piesa centrală este o portiță ascunsă numită Brickstorm, scrisă mai întâi în limbajul Go și reconstruită apoi în Rust, plantată pe echipamente de rețea care aproape niciodată nu rulează software de securitate și aproape niciodată nu sunt inspectate. Într-un caz, atacatorii au intrat printr-un sistem de sincronizare a fișierelor Egnyte accesibil prin VPN-ul companiei. Din acel punct de sprijin tăcut, funcția de proxy a Brickstorm le-a permis să-și dirijeze activitatea prin chiar rețeaua victimei, astfel încât, când au ajuns la Microsoft 365 cu credențiale furate, conexiunea părea locală și legitimă. Volexity apreciază cu mare încredere că a fost deliberat, o modalitate de a se amesteca în traficul normal și de a ocoli regulile de acces condiționat care altfel ar fi semnalat o autentificare dintr-un loc greșit. Alte două piese au ținut ușa deschisă: o portiță în .NET botezată Plenet, care le dădea operatorilor o consolă interactivă și control asupra fișierelor, și un reverse shell în Python numit AgentPSD, ținut de rezervă. Redundanța era scopul. Totul fusese construit ca să supraviețuiască descoperirii, nu ca să o evite la nesfârșit.

Detaliul cel mai incomod este socoteala timpului. Detectarea a venit la aproximativ optsprezece luni după prima intrare. În campanii de acest fel, anchetatorii au măsurat o ședere medie cu mult peste un an, suficient de lungă încât, în multe cazuri, jurnalele care consemnau intruziunea inițială să fi fost deja șterse prin politicile de retenție înainte ca cineva să știe că trebuie să caute. Atacatorii nu doar s-au ascuns: au durat mai mult decât probele.

Raza de acțiune a depășit prima victimă. În cel puțin un caz, grupul a compromis un furnizor de servicii gestionate, compania externă de IT care operează tehnologia a zeci de clienți mai mici, și a plantat o versiune de Brickstorm pe firewallul acestuia. O singură intruziune acolo devine o cheie universală pentru fiecare client din spatele lui. Aceasta este partea poveștii care călătorește dincolo de Statele Unite, unde se află majoritatea țintelor cunoscute. Orice companie care își externalizează IT-ul, adică aproape toate, moștenește securitatea unui furnizor în interiorul căruia nu poate privi.

Nimic din toate acestea nu este un defect al Microsoft 365 pe care un patch îl va închide. Punctele de intrare au fost echipamente terțe și credențiale furate, iar cloudul s-a comportat exact așa cum a fost proiectat de îndată ce a sosit o autentificare de încredere. Aceasta este problema grea pe care o lasă dezvăluirea. Organizațiile fără software de detecție pe serverele și echipamentele lor nu prea aveau cum să vadă activitatea, iar chiar și cele care îl aveau s-au confruntat cu o operațiune gândită să pară rutină. Fiind vorba de spionaj, nu de ransomware, nu a existat niciun ecran blocat și nicio notă de extorcare care să forțeze alarma: doar date care plecau în tăcere atâta timp cât operatorii au vrut să continue să privească.

Intruziunile au ieșit la iveală în jurul lunii martie 2025, iar avertismentele s-au înmulțit de atunci. Între august 2025 și ianuarie 2026, FBI, NSA și agenția americană de securitate cibernetică CISA au publicat o serie de avertizări despre intruziuni sponsorizate de statul chinez, iar CISA a semnalat separat folosirea Brickstorm împotriva serverelor VMware. Sfatul practic al anchetatorilor este îngust și lipsit de strălucire: păstrează jurnalele mai mult decât se pot ascunde atacatorii și pune detecție pe dispozitivele tăcute de la marginea rețelei, exact acolo unde, până la urmă, preferă să locuiască fantomele.

Etichete: știri, securitate cibernetică