Op vrijdag onthulde Microsoft dat een fout in de broncode het mogelijk maakte om vervalste Azure Active Directory (Azure AD) tokens te maken door een kwaadwillende acteur die bekend staat als Storm-0558. De dader heeft twee dozijn organisaties gekraakt met behulp van een gebruikerssleutel voor Microsoft-accounts (MSA).

Storm-0558 verkreeg een inactieve MSA-ondertekeningssleutel voor consumenten, die ze vervolgens gebruikten om verificatietokens te maken voor Azure AD enterprise en MSA-gebruikers. Deze tokens gaven hen ongeautoriseerde toegang tot OWA en Outlook.com. In hun diepgaande onderzoek van de situatie verklaarde Microsoft dat ze nog steeds onderzoeken hoe de acteur aan de sleutel is gekomen.

Hoewel de sleutel alleen bedoeld was voor MSA-accounts, kon deze door een validatiefout worden vertrouwd voor het ondertekenen van Azure AD-tokens. Dit probleem is echter aangepakt en verholpen.

Het is niet zeker of dit probleem met tokenvalidatie werd uitgebuit als een onbekende kwetsbaarheid (een “zero-day”) of dat Microsoft al op de hoogte was van het probleem voordat het werd uitgebuit.

De aanvallen waren gericht op ongeveer 25 organisaties, waaronder overheidsinstanties en gekoppelde consumentenaccounts, voor onbevoegde toegang tot e-mail en diefstal van mailboxgegevens. Er wordt verklaard dat er geen andere omgevingen zijn beïnvloed.

Het incident kwam onder de aandacht van Microsoft nadat het Amerikaanse ministerie van Buitenlandse Zaken verdachte e-mailactiviteiten had opgemerkt in verband met toegang tot Exchange Online-gegevens. Er wordt gespeculeerd dat Storm-0558 een Chinese dreigingsfactor is die zich bezighoudt met kwaadaardige cyberactiviteiten in de richting van spionage. China heeft deze beweringen echter ontkend.
Lees ook: “Meta zet EU toegang tot Threads App op wacht vanwege zorgen over regelgeving”

De hackinggroep richtte zich op Amerikaanse en Europese diplomatieke, economische en wetgevende entiteiten en personen die banden hebben met Taiwan en geopolitieke belangen van de Oeigoeren. Ook mediabedrijven, denktanks en leveranciers van telecommunicatieapparatuur en -diensten behoorden tot de doelwitten.

Sinds augustus 2021 heeft Storm-0558 credential harvesting, phishing-campagnes en OAuth token-aanvallen uitgevoerd op Microsoft-accounts om zijn doelen te bereiken.

“Storm-0558 geeft blijk van een hoog niveau van technische en operationele expertise”, aldus Microsoft, die de groep kenmerkt als technologisch vaardig, met voldoende middelen en een diepgaand begrip van verschillende verificatiemethoden en -toepassingen. “Ze hebben een goed begrip van de omgeving van het doelwit, het logbeleid en de vereisten, beleidsregels en procedures voor authenticatie.”

Ze kwamen in eerste instantie binnen in doelnetwerken via phishing en het uitbuiten van kwetsbaarheden in publiek toegankelijke applicaties, gevolgd door het installeren van de China Chopper webshell voor backdoor-toegang en een tool genaamd Cigril voor het stelen van referenties.

Storm-0558 gebruikte ook PowerShell- en Python-scripts om e-mailgegevens te extraheren, waaronder bijlagen, mapinformatie en conversaties met behulp van Outlook Web Access (OWA) API-aanroepen.

Volgens Microsoft hebben ze sinds de ontdekking van de campagne op 16 juni 2023 “de hoofdoorzaak geïdentificeerd, robuuste campagnetracering opgezet, kwaadaardige activiteiten verstoord, de omgeving versterkt, alle getroffen klanten geïnformeerd en contact onderhouden met meerdere overheidsinstanties.

De volledige omvang van de inbreuk is nog onzeker. Toch is dit het meest recente voorbeeld van een Chinese dreigingsfactor die cyberaanvallen uitvoert om gevoelige gegevens te bemachtigen en met succes een geheime operatie uitvoert die minstens een maand lang onopgemerkt is gebleven voordat deze in juni 2023 werd ontdekt.

Dit nieuws komt ook op het moment dat de Britse Inlichtingen- en Veiligheidscommissie van het Parlement(ISC) een uitgebreid rapport over China publiceerde, waarin de nadruk wordt gelegd op het “zeer efficiënte digitale spionagevermogen” en de capaciteit om toegang te krijgen tot verschillende IT-systemen die door andere overheden en het bedrijfsleven worden gebruikt.