“Amerikaanse agentschappen op hun hoede: cyberspionagecampagne gelinkt aan China ontdekt”.

Reading Time: ( Word Count: )

July 13, 2023
Nextdoorsec-course

Midden juni 2023 resulteerde een onbekend Amerikaans onderzoek door het Federal Civilian Executive Branch (FCEB) agentschap naar ongewone e-mailactiviteiten in de ontdekking van een nieuwe cyberspionagecampagne die vermoedelijk gelinkt was aan China en gericht was op ongeveer twee dozijn instellingen. 

De informatie kwam naar voren uit een gecombineerde cyberveiligheidswaarschuwing die op 12 juli 2023 werd uitgegeven door het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Federal Bureau of Investigation (FBI).

In hun aankondiging verklaarde: “In juni 2023 werd een afwijkend patroon gedetecteerd in de Microsoft 365 (M365) cloudomgeving van een federaal civiel uitvoerend agentschap (FCEB). Uit daaropvolgend onderzoek door Microsoft bleek dat APT-actoren (Advanced Persistent Threat) ongeautoriseerde toegang hadden verkregen en niet-geclassificeerde gegevens hadden gedownload van Exchange Online Outlook.”

Hoewel niet bekend werd gemaakt om welke overheidsinstantie het ging, suggereerden CNN en de Washington Post op basis van bronnen met kennis van de situatie dat het om het Amerikaanse ministerie van Buitenlandse Zaken ging. Andere doelwitten waren naar verluidt het ministerie van Handel, een e-mailaccount van een assistent van het Congres, een Amerikaanse mensenrechtenactivist en Amerikaanse denktanks. Het aantal getroffen Amerikaanse organisaties wordt geschat op enkele cijfers.

Lees ook: “Microsofts enorme beveiligingspatch: Spotlight op zes zero-day kwetsbaarheden”.

Amerikaanse agentschappen op hun hoede

Deze onthulling kwam vlak nadat Microsoft de operatie had toegewezen aan een nieuw geïdentificeerde “in China gebaseerde cyberbedreiging”, Storm-0558, die vooral bekend staat als doelwit van West-Europese overheidsinstanties en voor gegevensdiefstal en spionage. Het verzamelde bewijsmateriaal wijst erop dat de schadelijke activiteit een maand voor de ontdekking werd gestart.

China heeft heftig ontkend betrokken te zijn bij de cyberaanval en noemde de VS “‘s werelds grootste hackersimperium en cyberdief”. De Chinese regering eiste verder dat de VS hun cyberaanvalsoperaties zouden verduidelijken en zouden stoppen met het verspreiden van valse informatie om het publiek af te leiden.

Bij het infiltratieproces maakten cyberspionnen naar verluidt valse verificatietokens om toegang te krijgen tot e-mailaccounts van klanten via Outlook Web Access in Exchange Online (OWA) en Outlook.com. Deze valse tokens werden geproduceerd met behulp van een frauduleus verkregen Microsoft account (MSA) consumer signing key, hoewel de precieze methode niet bekend is gemaakt.

Twee aangepaste malwaretools, Bling en Cigril, werden naar verluidt ook gebruikt door Storm-0558 om ongeautoriseerde toegang te krijgen. Cigril is een trojan die versleutelde bestanden ontsleutelt en ze rechtstreeks vanuit het systeemgeheugen uitvoert om detectie te voorkomen.

CISA erkende het succes van het FCEB-agentschap bij het detecteren van de inbreuk door gebruik te maken van verbeterde logging in Microsoft Purview Audit, met name de MailItemsAccessed mailbox-auditing actie.

Verder adviseert het agentschap organisaties dringend om de Purview Audit (Premium) logging te activeren, Microsoft 365 Unified Audit Logging(UAL) in te schakelen en te garanderen dat logs toegankelijk zijn voor operators om op dergelijke activiteiten te jagen en ze te onderscheiden van reguliere activiteiten binnen de omgeving.

“Entiteiten worden aangespoord om anomalieën te identificeren en zich vertrouwd te maken met standaardpatronen om onderscheid te maken tussen abnormaal en normaal verkeer,” concludeerden CISA en FBI.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

Creating An Incident Response Plan: 5 Key Considerations

Creating An Incident Response Plan: 5 Key Considerations

Cyber threats are becoming more sophisticated, putting businesses at risk of severe disruptions. A single security ...
Top Security Practices to Protect Your Data in Cloud Services

Top Security Practices to Protect Your Data in Cloud Services

Cloud services make storing and accessing your data simple and flexible, but they also bring new security ...
Boosting Efficiency With Law Firm IT Solutions: A Guide for Small Practices

Boosting Efficiency With Law Firm IT Solutions: A Guide for Small Practices

Small law firms often juggle multiple responsibilities with limited resources, making efficiency a top priority. ...
0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *