Am Freitag deckte Microsoft auf, dass ein Fehler in seinem Quellcode die Erstellung gefälschter Azure Active Directory (Azure AD)-Token durch einen bösartigen Akteur namens Storm-0558 ermöglichte. Der Täter drang in zwei Dutzend Organisationen ein, indem er einen Signierschlüssel für Microsoft-Konten (MSA) benutzte.

Storm-0558 erlangte einen inaktiven MSA-Verbraucher-Signierschlüssel, den er dann zur Herstellung von Authentifizierungstokens für Azure AD Enterprise und MSA-Verbraucher verwendete. Diese Token ermöglichten ihnen unberechtigten Zugriff auf OWA und Outlook.com. In seiner eingehenden Untersuchung der Situation erklärte Microsoft, dass es noch immer untersucht, wie der Akteur in den Besitz des Schlüssels gekommen ist.

Obwohl der Schlüssel nur für MSA-Konten gedacht war, konnte er aufgrund eines Validierungsfehlers für die Signierung von Azure AD-Token verwendet werden. Dieses Problem wurde jedoch in Angriff genommen und behoben.

Es ist ungewiss, ob dieses Token-Validierungsproblem als unbekannte Schwachstelle (ein “Zero-Day”) ausgenutzt wurde oder ob Microsoft sich des Problems bereits vor dessen Ausnutzung bewusst war.

Die Angriffe richteten sich gegen etwa 25 Organisationen, darunter staatliche Einrichtungen und verknüpfte Verbraucherkonten, und dienten dem unbefugten Zugriff auf E-Mails und dem Diebstahl von Mailboxdaten. Es wird angegeben, dass keine anderen Umgebungen betroffen waren.

Microsoft wurde auf den Vorfall aufmerksam, nachdem das US-Außenministerium verdächtige E-Mail-Aktivitäten im Zusammenhang mit dem Zugriff auf Exchange Online-Daten festgestellt hatte. Es wird spekuliert, dass es sich bei Storm-0558 um einen chinesischen Bedrohungsakteur handelt, der böswillige, auf Spionage ausgerichtete Cyberaktivitäten durchführt. China hat diese Behauptungen jedoch bestritten.
Lesen Sie auch: “Meta legt EU-Zugang zur Threads-App wegen Bedenken der Regulierungsbehörden auf Eis”

Die Hackergruppe hatte es auf diplomatische, wirtschaftliche und gesetzgebende Einrichtungen und Personen in den USA und Europa abgesehen, die mit Taiwan und den geopolitischen Interessen der Uiguren verbunden sind. Auch Medienunternehmen, Denkfabriken und Anbieter von Telekommunikationsausrüstung und -diensten waren unter den Zielpersonen.

Seit August 2021 hat Storm-0558 Credential Harvesting, Phishing-Kampagnen und OAuth-Token-Angriffe auf Microsoft-Konten durchgeführt, um seine Ziele zu erreichen.

“Storm-0558 zeichnet sich durch ein hohes Maß an technischem und operativem Fachwissen aus”, so Microsoft. Die Gruppe sei technologisch versiert, verfüge über ausreichende Ressourcen und besitze ein tiefgreifendes Verständnis verschiedener Authentifizierungsmethoden und -anwendungen. “Sie verfügen über ein tiefes Verständnis der Umgebung des Ziels, der Protokollierungsrichtlinien und der Authentifizierungsanforderungen, -richtlinien und -verfahren.

Das Eindringen in die Zielnetzwerke erfolgte zunächst über Phishing und das Ausnutzen von Schwachstellen in öffentlich zugänglichen Anwendungen, gefolgt von der Installation der China Chopper Web Shell für den Backdoor-Zugang und einem Tool namens Cigril für den Diebstahl von Anmeldeinformationen.

Storm-0558 nutzte außerdem PowerShell- und Python-Skripte, um E-Mail-Daten zu extrahieren, darunter Anhänge, Ordnerinformationen und Unterhaltungen mit Hilfe von Outlook Web Access (OWA) API-Aufrufen.

Nach Angaben von Microsoft hat das Unternehmen seit der Entdeckung der Kampagne am 16. Juni 2023 “die Ursache identifiziert, eine robuste Kampagnenverfolgung eingerichtet, bösartige Aktivitäten unterbrochen, die Umgebung verstärkt, alle betroffenen Kunden informiert und mit mehreren Regierungsstellen Kontakt aufgenommen.

Das volle Ausmaß des Verstoßes ist noch unklar. Dennoch ist dies der jüngste Fall eines in China ansässigen Bedrohungsakteurs, der Cyberangriffe durchführt, um an sensible Daten zu gelangen, und dem es gelang, eine verdeckte Geheimdienstoperation durchzuführen, die mindestens einen Monat lang unentdeckt blieb, bevor sie im Juni 2023 entdeckt wurde.

Der britische Parlamentsausschuss für Nachrichtendienste und Sicherheit(ISC) hat einen umfassenden Bericht über China veröffentlicht, in dem die “äußerst effizienten digitalen Spionagefähigkeiten” und die Fähigkeit des Landes, auf verschiedene IT-Systeme anderer Regierungen und Unternehmen zuzugreifen, hervorgehoben werden.