Midden juni 2023 resulteerde een onbekend Amerikaans onderzoek door het Federal Civilian Executive Branch (FCEB) agentschap naar ongewone e-mailactiviteiten in de ontdekking van een nieuwe cyberspionagecampagne die vermoedelijk gelinkt was aan China en gericht was op ongeveer twee dozijn instellingen. 

De informatie kwam naar voren uit een gecombineerde cyberveiligheidswaarschuwing die op 12 juli 2023 werd uitgegeven door het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Federal Bureau of Investigation (FBI).

In hun aankondiging verklaarde: “In juni 2023 werd een afwijkend patroon gedetecteerd in de Microsoft 365 (M365) cloudomgeving van een federaal civiel uitvoerend agentschap (FCEB). Uit daaropvolgend onderzoek door Microsoft bleek dat APT-actoren (Advanced Persistent Threat) ongeautoriseerde toegang hadden verkregen en niet-geclassificeerde gegevens hadden gedownload van Exchange Online Outlook.”

Hoewel niet bekend werd gemaakt om welke overheidsinstantie het ging, suggereerden CNN en de Washington Post op basis van bronnen met kennis van de situatie dat het om het Amerikaanse ministerie van Buitenlandse Zaken ging. Andere doelwitten waren naar verluidt het ministerie van Handel, een e-mailaccount van een assistent van het Congres, een Amerikaanse mensenrechtenactivist en Amerikaanse denktanks. Het aantal getroffen Amerikaanse organisaties wordt geschat op enkele cijfers.

Lees ook: “Microsofts enorme beveiligingspatch: Spotlight op zes zero-day kwetsbaarheden”.

Deze onthulling kwam vlak nadat Microsoft de operatie had toegewezen aan een nieuw geïdentificeerde “in China gebaseerde cyberbedreiging”, Storm-0558, die vooral bekend staat als doelwit van West-Europese overheidsinstanties en voor gegevensdiefstal en spionage. Het verzamelde bewijsmateriaal wijst erop dat de schadelijke activiteit een maand voor de ontdekking werd gestart.

China heeft heftig ontkend betrokken te zijn bij de cyberaanval en noemde de VS “’s werelds grootste hackersimperium en cyberdief”. De Chinese regering eiste verder dat de VS hun cyberaanvalsoperaties zouden verduidelijken en zouden stoppen met het verspreiden van valse informatie om het publiek af te leiden.

Bij het infiltratieproces maakten cyberspionnen naar verluidt valse verificatietokens om toegang te krijgen tot e-mailaccounts van klanten via Outlook Web Access in Exchange Online (OWA) en Outlook.com. Deze valse tokens werden geproduceerd met behulp van een frauduleus verkregen Microsoft account (MSA) consumer signing key, hoewel de precieze methode niet bekend is gemaakt.

Twee aangepaste malwaretools, Bling en Cigril, werden naar verluidt ook gebruikt door Storm-0558 om ongeautoriseerde toegang te krijgen. Cigril is een trojan die versleutelde bestanden ontsleutelt en ze rechtstreeks vanuit het systeemgeheugen uitvoert om detectie te voorkomen.

CISA erkende het succes van het FCEB-agentschap bij het detecteren van de inbreuk door gebruik te maken van verbeterde logging in Microsoft Purview Audit, met name de MailItemsAccessed mailbox-auditing actie.

Verder adviseert het agentschap organisaties dringend om de Purview Audit (Premium) logging te activeren, Microsoft 365 Unified Audit Logging(UAL) in te schakelen en te garanderen dat logs toegankelijk zijn voor operators om op dergelijke activiteiten te jagen en ze te onderscheiden van reguliere activiteiten binnen de omgeving.

“Entiteiten worden aangespoord om anomalieën te identificeren en zich vertrouwd te maken met standaardpatronen om onderscheid te maken tussen abnormaal en normaal verkeer,” concludeerden CISA en FBI.