Au milieu du mois de juin 2023, une enquête non identifiée menée par l’agence Federal Civilian Executive Branch (FCEB) sur une activité inhabituelle de courrier électronique a abouti à la découverte d’une nouvelle campagne de cyberespionnage prétendument liée à la Chine et ciblant environ deux douzaines d’institutions. 

Ces informations sont issues d’un avertissement combiné de cybersécurité émis par l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) et le Bureau fédéral d’investigation (FBI) le 12 juillet 2023.

Dans leur annonce, les autorités a déclaré: “Un schéma anormal a été détecté dans l’environnement cloud Microsoft 365 (M365) d’une agence de la Federal Civilian Executive Branch (FCEB) en juin 2023. L’enquête ultérieure menée par Microsoft a révélé que des acteurs de menaces persistantes avancées (APT) avaient obtenu un accès non autorisé et téléchargé des données non classifiées à partir d’Exchange Online Outlook.”

Bien que l’entité gouvernementale impliquée n’ait pas été divulguée, CNN et le Washington Post ont suggéré qu’il s’agissait du département d’État américain, en se basant sur des sources ayant connaissance de la situation. D’autres cibles auraient été le département du commerce, le compte de courrier électronique d’un collaborateur du Congrès, un militant américain des droits de l’homme et des groupes de réflexion américains. Le nombre d’organisations américaines touchées serait à un chiffre.

Lire aussi : “Le grand correctif de sécurité de Microsoft : Coup de projecteur sur six vulnérabilités de type “Zero-Day””.

Cette révélation fait suite à l’attribution par Microsoft de l’opération à une “cybermenace basée en Chine” nouvellement identifiée, Storm-0558, connue principalement pour cibler les agences gouvernementales d’Europe occidentale et pour le vol de données et l’espionnage. Les preuves accumulées indiquent que l’activité nuisible a commencé un mois avant la détection.

La Chine a nié avec véhémence toute implication dans la cyberattaque, qualifiant les États-Unis d'”empire du piratage et de cyber-voleur le plus important au monde”. Le gouvernement chinois a en outre exigé que les États-Unis clarifient leurs opérations de cyberattaque et cessent de diffuser de fausses informations pour distraire le public.

Le processus d’infiltration aurait impliqué la création par les cyberespions de jetons d’authentification contrefaits pour accéder aux comptes de messagerie des clients via Outlook Web Access dans Exchange Online (OWA) et Outlook.com. Ces faux jetons ont été produits à l’aide d’une clé de signature du consommateur du compte Microsoft (MSA) obtenue frauduleusement, bien que la méthode précise n’ait pas été divulguée.

Deux outils malveillants personnalisés, Bling et Cigril, auraient également été utilisés par Storm-0558 pour obtenir un accès non autorisé. Cigril est un cheval de Troie qui déchiffre les fichiers cryptés et les exécute directement à partir de la mémoire du système pour éviter d’être détecté.

La CISA a reconnu que l’agence FCEB avait réussi à détecter la violation en utilisant une journalisation améliorée dans Microsoft Purview Audit, précisément l’action d’audit de la boîte aux lettres MailItemsAccessed.

En outre, l’agence conseille vivement aux organisations d’activer la journalisation Purview Audit (Premium), d’activer Microsoft 365 Unified Audit Logging(UAL), et de garantir que les journaux sont accessibles aux opérateurs pour chasser de telles activités et les distinguer des opérations régulières au sein de l’environnement.

“Les entités sont invitées à identifier les anomalies et à se familiariser avec les modèles standard afin de distinguer le trafic anormal du trafic normal”, concluent la CISA et le FBI.