„US-Behörden in Alarmbereitschaft: Cyberspionage-Kampagne mit Verbindungen zu China aufgedeckt“

Reading Time: ( Word Count: )

Juli 13, 2023
Nextdoorsec-course

Mitte Juni 2023 führte eine nicht näher bezeichnete US-Untersuchung der Federal Civilian Executive Branch (FCEB) über ungewöhnliche E-Mail-Aktivitäten zur Entdeckung einer neuen Cyberspionage-Kampagne, die angeblich mit China in Verbindung stand und auf etwa zwei Dutzend Institutionen abzielte. 

Die Informationen stammen aus einer kombinierten Cybersicherheitswarnung, die von der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) und dem Federal Bureau of Investigation (FBI) am 12. Juli 2023 herausgegeben wurde.

In ihrer Ankündigung erklärten die Behörden erklärte: „Im Juni 2023 wurde in der Microsoft 365 (M365) Cloud-Umgebung einer Bundesbehörde der zivilen Exekutive (FCEB) ein anomales Muster entdeckt. Die anschließende Untersuchung durch Microsoft ergab, dass sich Advanced Persistent Threat (APT)-Akteure unbefugten Zugang verschafft und nicht klassifizierte Daten aus Exchange Online Outlook heruntergeladen hatten.“

Zwar wurde die beteiligte Regierungsstelle nicht genannt, doch CNN und die Washington Post vermuten, dass es sich um das US-Außenministerium handelt, und berufen sich dabei auf Quellen, die mit der Situation vertraut sind. Weitere Ziele waren Berichten zufolge das Handelsministerium, das E-Mail-Konto eines Kongressmitarbeiters, ein amerikanischer Menschenrechtsaktivist und US-Denkfabriken. Die Zahl der betroffenen US-Organisationen dürfte sich im einstelligen Bereich bewegen.

Lesen Sie auch: „Microsoft’s Massive Security Patch: Sechs Zero-Day-Schwachstellen im Blickpunkt“

U.S.-Behörden in Alarmbereitschaft

Diese Enthüllung kam kurz nachdem Microsoft die Operation einer neu identifizierten „chinesischen Cyber-Bedrohung“, Storm-0558, zuordnete, die vor allem dafür bekannt ist, westeuropäische Regierungsbehörden ins Visier zu nehmen sowie Daten zu stehlen und zu spionieren. Alles deutet darauf hin, dass die schädlichen Aktivitäten bereits einen Monat vor der Entdeckung begonnen haben.

China hat vehement bestritten, an dem Cyberangriff beteiligt gewesen zu sein, und bezeichnete die USA als „das weltweit führende Hackerimperium und den größten Cyberdieb“. Die chinesische Regierung forderte die USA außerdem auf, ihre Cyberangriffe aufzuklären und die Verbreitung von Falschinformationen zur Ablenkung der Öffentlichkeit einzustellen.

Berichten zufolge haben Cyberspione gefälschte Authentifizierungstoken erstellt, um über Outlook Web Access in Exchange Online (OWA) und Outlook.com auf Kunden-E-Mail-Konten zuzugreifen. Diese gefälschten Token wurden mithilfe eines betrügerisch erlangten Microsoft-Kontos (MSA) hergestellt, wobei die genaue Methode noch nicht bekannt gegeben wurde.

Zwei benutzerdefinierte Malware-Tools, Bling und Cigril, wurden angeblich auch von Storm-0558 eingesetzt, um sich unbefugten Zugang zu verschaffen. Cigril ist ein Trojaner, der verschlüsselte Dateien entschlüsselt und sie direkt aus dem Systemspeicher ausführt, um eine Entdeckung zu vermeiden.

Die CISA würdigte den Erfolg der FCEB-Behörde bei der Aufdeckung des Verstoßes durch den Einsatz einer erweiterten Protokollierung in Microsoft Purview Audit, genauer gesagt der MailItemsAccessed Mailbox-Auditing-Aktion.

Darüber hinaus rät die Behörde Unternehmen dringend, die Purview Audit (Premium)-Protokollierung zu aktivieren, Microsoft 365 Unified Audit Logging(UAL) einzuschalten und sicherzustellen, dass die Protokolle für die Betreiber zugänglich sind, um solche Aktivitäten zu verfolgen und sie von regulären Vorgängen innerhalb der Umgebung zu unterscheiden.

„Die Behörden werden dringend aufgefordert, Anomalien zu erkennen und sich mit Standardmustern vertraut zu machen, um zwischen anormalem und normalem Datenverkehr unterscheiden zu können“, so die Schlussfolgerung von CISA und FBI.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

„Unsichtbare Risiken: Wie der gestohlene Microsoft-Schlüssel mehr als erwartet freischalten könnte“

Der angebliche Diebstahl eines Microsoft-Sicherheitsschlüssels könnte es Spionen, die mit Peking in Verbindung ...

„Die KI-Leistung von ChatGPT: Jenseits des Turing-Tests oder noch nicht ganz da?“

ChatGPT, ein Chatbot mit künstlicher Intelligenz von OpenAI, hat aufgrund seiner außergewöhnlichen Fähigkeiten ...
0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert