Microsoft warnt vor chinesischen Hackern, die es auf die Regierung der USA und Europas abgesehen haben

Microsoft berichtete, dass chinesische Hacker Zugriff auf E-Mail-Konten der Regierung in den USA und Westeuropa hatten. Das Unternehmen sagte, dass die Hacker, die es als eine Gruppe namens Storm-0558 identifizierte, wahrscheinlich durch Spionage motiviert waren.

Der Hack, der einen Monat lang unentdeckt blieb, zielte auf E-Mail-Konten ab, die von etwa 25 Organisationen, darunter Regierungsbehörden und Denkfabriken, genutzt wurden. Microsoft sagte, dass die Hacker vertrauliche Informationen, darunter E-Mails, Dokumente und Passwörter, stehlen könnten.

Das Unternehmen gab an, die betroffenen Organisationen benachrichtigt und Maßnahmen zur Schadensbegrenzung ergriffen zu haben. Das Unternehmen betonte außerdem, mit den Strafverfolgungsbehörden zusammenzuarbeiten, um den Hack zu untersuchen. In seinem Blogbeitrag erklärt Microsoft :

Der Akteur nutzte einen erworbenen MSA-Schlüssel, um Token für den Zugriff auf OWA und Outlook.com zu fälschen. MSA-Schlüssel (Verbraucherschlüssel) und Azure AD-Schlüssel (Unternehmensschlüssel) werden von separaten Systemen ausgegeben und verwaltet und sollten nur für ihre jeweiligen Systeme gültig sein.

Der Akteur nutzte ein Problem bei der Token-Validierung aus, um sich als Azure AD-Benutzer auszugeben und Zugriff auf Unternehmens-E-Mails zu erhalten. Wir haben keine Hinweise darauf, dass dieser Akteur Azure AD-Schlüssel oder andere MSA-Schlüssel verwendet hat.

OWA und Outlook.com sind die einzigen Dienste, bei denen wir beobachtet haben, dass der Akteur mit dem erworbenen MSA-Schlüssel gefälschte Token verwendet.

Das Unternehmen hat sich mit der Cybersecurity and Infrastructure Security Agency (CISA) des Department of Homeland Security (DHS) zusammengetan, um betroffene Kunden anzusprechen. Microsoft fügt hinzu, dass solche Kunden oder Organisationen direkt kontaktiert wurden.

So fasste Microsoft seine Eindämmungsbemühungen zur Bekämpfung dieses Angriffs zusammen:

Microsoft hat den erworbenen MSA-Schlüssel entschärft und unsere Telemetrie zeigt an, dass die Aktivitäten des Akteurs blockiert wurden. Im Verlauf unserer Untersuchung haben wir die folgenden proaktiven Schritte unternommen:

• Microsoft hat die Verwendung von Token, die mit dem erworbenen MSA-Schlüssel in OWA signiert wurden, blockiert, um weitere Unternehmens-E-Mail-Aktivitäten der Bedrohungsakteure zu verhindern.
• Microsoft hat den Austausch des Schlüssels abgeschlossen, um zu verhindern, dass der Bedrohungsakteur ihn zum Fälschen von Token verwendet.
• Microsoft hat die Verwendung der mit dem Schlüssel ausgegebenen Token für alle betroffenen Verbraucherkunden blockiert.

Storm-0558 ist eine bekannte chinesische Hackergruppe, die seit mehreren Jahren aktiv ist. Die Gruppe wurde mit mehreren hochkarätigen Hackerangriffen in Verbindung gebracht. Und der Hack ist der jüngste hochkarätige Cyberangriff, der auf Regierungsbehörden und andere sensible Organisationen abzielt.

In den letzten Jahren wächst die Besorgnis über die Bedrohung durch chinesische Cyberspionage. Kürzlich, so Microsoft, habe ein staatlich geförderter chinesischer Akteur kritische Infrastrukturen in den USA ins Visier genommen . Die chinesische Regierung hat jedoch jede Beteiligung an dem Hack bestritten. Der Angriff erfolgte, nachdem das Land seine Politik zur Unterstützung der heimischen Chipindustrie angesichts der US-Restriktionen überdacht hatte.