Mitte Juni 2023 führte eine nicht näher bezeichnete US-Untersuchung der Federal Civilian Executive Branch (FCEB) über ungewöhnliche E-Mail-Aktivitäten zur Entdeckung einer neuen Cyberspionage-Kampagne, die angeblich mit China in Verbindung stand und auf etwa zwei Dutzend Institutionen abzielte. 

Die Informationen stammen aus einer kombinierten Cybersicherheitswarnung, die von der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) und dem Federal Bureau of Investigation (FBI) am 12. Juli 2023 herausgegeben wurde.

In ihrer Ankündigung erklärten die Behörden erklärte: “Im Juni 2023 wurde in der Microsoft 365 (M365) Cloud-Umgebung einer Bundesbehörde der zivilen Exekutive (FCEB) ein anomales Muster entdeckt. Die anschließende Untersuchung durch Microsoft ergab, dass sich Advanced Persistent Threat (APT)-Akteure unbefugten Zugang verschafft und nicht klassifizierte Daten aus Exchange Online Outlook heruntergeladen hatten.”

Zwar wurde die beteiligte Regierungsstelle nicht genannt, doch CNN und die Washington Post vermuten, dass es sich um das US-Außenministerium handelt, und berufen sich dabei auf Quellen, die mit der Situation vertraut sind. Weitere Ziele waren Berichten zufolge das Handelsministerium, das E-Mail-Konto eines Kongressmitarbeiters, ein amerikanischer Menschenrechtsaktivist und US-Denkfabriken. Die Zahl der betroffenen US-Organisationen dürfte sich im einstelligen Bereich bewegen.

Lesen Sie auch: “Microsoft’s Massive Security Patch: Sechs Zero-Day-Schwachstellen im Blickpunkt”

Diese Enthüllung kam kurz nachdem Microsoft die Operation einer neu identifizierten “chinesischen Cyber-Bedrohung”, Storm-0558, zuordnete, die vor allem dafür bekannt ist, westeuropäische Regierungsbehörden ins Visier zu nehmen sowie Daten zu stehlen und zu spionieren. Alles deutet darauf hin, dass die schädlichen Aktivitäten bereits einen Monat vor der Entdeckung begonnen haben.

China hat vehement bestritten, an dem Cyberangriff beteiligt gewesen zu sein, und bezeichnete die USA als “das weltweit führende Hackerimperium und den größten Cyberdieb”. Die chinesische Regierung forderte die USA außerdem auf, ihre Cyberangriffe aufzuklären und die Verbreitung von Falschinformationen zur Ablenkung der Öffentlichkeit einzustellen.

Berichten zufolge haben Cyberspione gefälschte Authentifizierungstoken erstellt, um über Outlook Web Access in Exchange Online (OWA) und Outlook.com auf Kunden-E-Mail-Konten zuzugreifen. Diese gefälschten Token wurden mithilfe eines betrügerisch erlangten Microsoft-Kontos (MSA) hergestellt, wobei die genaue Methode noch nicht bekannt gegeben wurde.

Zwei benutzerdefinierte Malware-Tools, Bling und Cigril, wurden angeblich auch von Storm-0558 eingesetzt, um sich unbefugten Zugang zu verschaffen. Cigril ist ein Trojaner, der verschlüsselte Dateien entschlüsselt und sie direkt aus dem Systemspeicher ausführt, um eine Entdeckung zu vermeiden.

Die CISA würdigte den Erfolg der FCEB-Behörde bei der Aufdeckung des Verstoßes durch den Einsatz einer erweiterten Protokollierung in Microsoft Purview Audit, genauer gesagt der MailItemsAccessed Mailbox-Auditing-Aktion.

Darüber hinaus rät die Behörde Unternehmen dringend, die Purview Audit (Premium)-Protokollierung zu aktivieren, Microsoft 365 Unified Audit Logging(UAL) einzuschalten und sicherzustellen, dass die Protokolle für die Betreiber zugänglich sind, um solche Aktivitäten zu verfolgen und sie von regulären Vorgängen innerhalb der Umgebung zu unterscheiden.

“Die Behörden werden dringend aufgefordert, Anomalien zu erkennen und sich mit Standardmustern vertraut zu machen, um zwischen anormalem und normalem Datenverkehr unterscheiden zu können”, so die Schlussfolgerung von CISA und FBI.