“Amerikaanse agentschappen op hun hoede: cyberspionagecampagne gelinkt aan China ontdekt”.

Reading Time: ( Word Count: )

July 13, 2023
Nextdoorsec-course

Midden juni 2023 resulteerde een onbekend Amerikaans onderzoek door het Federal Civilian Executive Branch (FCEB) agentschap naar ongewone e-mailactiviteiten in de ontdekking van een nieuwe cyberspionagecampagne die vermoedelijk gelinkt was aan China en gericht was op ongeveer twee dozijn instellingen. 

De informatie kwam naar voren uit een gecombineerde cyberveiligheidswaarschuwing die op 12 juli 2023 werd uitgegeven door het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Federal Bureau of Investigation (FBI).

In hun aankondiging verklaarde: “In juni 2023 werd een afwijkend patroon gedetecteerd in de Microsoft 365 (M365) cloudomgeving van een federaal civiel uitvoerend agentschap (FCEB). Uit daaropvolgend onderzoek door Microsoft bleek dat APT-actoren (Advanced Persistent Threat) ongeautoriseerde toegang hadden verkregen en niet-geclassificeerde gegevens hadden gedownload van Exchange Online Outlook.”

Hoewel niet bekend werd gemaakt om welke overheidsinstantie het ging, suggereerden CNN en de Washington Post op basis van bronnen met kennis van de situatie dat het om het Amerikaanse ministerie van Buitenlandse Zaken ging. Andere doelwitten waren naar verluidt het ministerie van Handel, een e-mailaccount van een assistent van het Congres, een Amerikaanse mensenrechtenactivist en Amerikaanse denktanks. Het aantal getroffen Amerikaanse organisaties wordt geschat op enkele cijfers.

Lees ook: “Microsofts enorme beveiligingspatch: Spotlight op zes zero-day kwetsbaarheden”.

Amerikaanse agentschappen op hun hoede

Deze onthulling kwam vlak nadat Microsoft de operatie had toegewezen aan een nieuw geïdentificeerde “in China gebaseerde cyberbedreiging”, Storm-0558, die vooral bekend staat als doelwit van West-Europese overheidsinstanties en voor gegevensdiefstal en spionage. Het verzamelde bewijsmateriaal wijst erop dat de schadelijke activiteit een maand voor de ontdekking werd gestart.

China heeft heftig ontkend betrokken te zijn bij de cyberaanval en noemde de VS “‘s werelds grootste hackersimperium en cyberdief”. De Chinese regering eiste verder dat de VS hun cyberaanvalsoperaties zouden verduidelijken en zouden stoppen met het verspreiden van valse informatie om het publiek af te leiden.

Bij het infiltratieproces maakten cyberspionnen naar verluidt valse verificatietokens om toegang te krijgen tot e-mailaccounts van klanten via Outlook Web Access in Exchange Online (OWA) en Outlook.com. Deze valse tokens werden geproduceerd met behulp van een frauduleus verkregen Microsoft account (MSA) consumer signing key, hoewel de precieze methode niet bekend is gemaakt.

Twee aangepaste malwaretools, Bling en Cigril, werden naar verluidt ook gebruikt door Storm-0558 om ongeautoriseerde toegang te krijgen. Cigril is een trojan die versleutelde bestanden ontsleutelt en ze rechtstreeks vanuit het systeemgeheugen uitvoert om detectie te voorkomen.

CISA erkende het succes van het FCEB-agentschap bij het detecteren van de inbreuk door gebruik te maken van verbeterde logging in Microsoft Purview Audit, met name de MailItemsAccessed mailbox-auditing actie.

Verder adviseert het agentschap organisaties dringend om de Purview Audit (Premium) logging te activeren, Microsoft 365 Unified Audit Logging(UAL) in te schakelen en te garanderen dat logs toegankelijk zijn voor operators om op dergelijke activiteiten te jagen en ze te onderscheiden van reguliere activiteiten binnen de omgeving.

“Entiteiten worden aangespoord om anomalieën te identificeren en zich vertrouwd te maken met standaardpatronen om onderscheid te maken tussen abnormaal en normaal verkeer,” concludeerden CISA en FBI.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

Automated vs Manual Penetration Testing

Automated vs Manual Penetration Testing

Pentesting is largely divided into two methodologies: Automated vs Manual Penetration Testing. Both have ...
8 Steps in Penetration Testing You Should Know

8 Steps in Penetration Testing You Should Know

Mastering the art of penetration testing has become a critical ability for security experts to combat cyber ...
Spear Phishing vs Whaling: What is the Difference

Spear Phishing vs Whaling: What is the Difference

Spear phishing is a particularly devious type of phishing assault in which the individual targeted plays a ...
How Often Should Penetration Testing Be Done

How Often Should Penetration Testing Be Done

Penetration testing is a crucial technique that involves simulating a cyberattack on networks, computer systems, ...
0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *