Microsoft waarschuwt voor Chinese hackers die het op de Amerikaanse en Europese overheid hebben gemunt

Microsoft meldde dat Chinese hackers toegang hadden tot e-mailaccounts van de overheid in de Verenigde Staten en West-Europa. Het bedrijf zei dat de hackers, die het identificeerde als een groep die bekend staat als Storm-0558, waarschijnlijk gemotiveerd waren door spionage.

De hack, die een maand lang onopgemerkt bleef, was gericht op e-mailaccounts die werden gebruikt door ongeveer 25 organisaties, waaronder overheidsinstanties en denktanks. Microsoft zei dat de hackers gevoelige informatie konden stelen, waaronder e-mails, documenten en wachtwoorden.

Het bedrijf verklaarde de getroffen organisaties op de hoogte te hebben gebracht en maatregelen te hebben genomen om de schade te beperken. Het bedrijf benadrukte ook samenwerking met wetshandhavers om de hack te onderzoeken. In zijn blogpost legt Microsoft uit :

De acteur gebruikte een verworven MSA-sleutel om tokens te vervalsen om toegang te krijgen tot OWA en Outlook.com. MSA-sleutels (consumentensleutels) en Azure AD-sleutels (bedrijfssleutels) worden uitgegeven en beheerd vanaf afzonderlijke systemen en zouden alleen geldig moeten zijn voor hun respectieve systemen.

De acteur misbruikte een tokenvalidatieprobleem om zich voor te doen als Azure AD-gebruikers en toegang te krijgen tot bedrijfsmail. We hebben geen indicaties dat Azure AD-sleutels of andere MSA-sleutels door deze actor zijn gebruikt.

OWA en Outlook.com zijn de enige services waarbij we hebben waargenomen dat de actor tokens gebruikte die waren vervalst met de verworven MSA-sleutel.

Het werkt samen met de Cybersecurity and Infrastructure Security Agency (CISA) van het Department of Homeland Security (DHS) om getroffen klanten te helpen. Microsoft voegt eraan toe dat dergelijke klanten of organisaties rechtstreeks zijn benaderd.

Hier is hoe Microsoft zijn inspanningen om deze aanval te bestrijden samenvatte:

Micro soft heeft de verkregen MSA-sleutel beperkt en onze telemetrie geeft aan dat de actor-activiteiten zijn geblokkeerd. Tijdens ons onderzoek hebben we de volgende proactieve stappen ondernomen:

• Microsoft blokkeerde het gebruik van tokens die waren ondertekend met de verkregen MSA-sleutel in OWA, waardoor verdere e-mailactiviteit van bedreigingsactoren werd voorkomen.
• Microsoft heeft de vervanging van de sleutel voltooid om te voorkomen dat de bedreigingsactor deze gebruikt om tokens te vervalsen.
• Microsoft blokkeerde het gebruik van tokens die met de sleutel waren uitgegeven voor alle getroffen consumentenklanten.

Storm-0558 is een bekende Chinese hackgroep die al enkele jaren actief is. De groep is in verband gebracht met verschillende spraakmakende hacks. En de hack is de nieuwste spraakmakende cyberaanval gericht op overheidsinstanties en andere gevoelige organisaties.

De laatste jaren is er een groeiende bezorgdheid over de dreiging van Chinese cyberspionage. De laatste tijd zegt Microsoft dat een door de staat gesponsorde Chinese acteur zich richt op kritieke infrastructuur in de VS. De Chinese overheid heeft echter elke betrokkenheid bij de hack ontkend. De aanval kwam nadat het land zijn beleid had heroverwogen om de binnenlandse chipindustrie te ondersteunen te midden van Amerikaanse beperkingen.