Търсене
Close this search box.

Имейли на правителствени агенции на САЩ са компрометирани от Китай

Неназована федерална агенция на гражданската изпълнителна власт (FCEB) в САЩ е открила аномална активност по имейл в средата на юни 2023 г., което е довело до откриването от страна на Microsoft на нова шпионска кампания, свързана с Китай, насочена към две дузини организации.

Подробностите идват от съвместна консултация за киберсигурност, публикувана от Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) и Федералното бюро за разследване (ФБР) на 12 юли 2023 г.

„През юни 2023 г. федерална агенция на гражданската изпълнителна власт (ФГВР) установи подозрителна дейност в своята облачна среда на Microsoft 365 (M365)“, посочват органите. „Майкрософт установи, че напреднали постоянни заплахи (APT) са получили достъп и са ексфилтрирали некласифицирани данни от Outlook в Exchange Online.“

Въпреки че името на правителствената агенция не беше разкрито, CNN и Washington Post съобщиха, че това е Държавният департамент на САЩ, позовавайки се на запознати с въпроса. Обект на посегателство са били и Министерството на търговията, както и имейл акаунти, принадлежащи на служител на Конгреса, на американски защитник на правата на човека и на американски мозъчни тръстове. Броят на засегнатите организации в САЩ се оценява на едноцифрено число.

Разкритието идва ден, след като технологичният гигант приписа кампанията на нововъзникващ „базиран в Китай участник в заплахи“, когото следи под името Storm-0558, който е насочен предимно към правителствени агенции в Западна Европа и се фокусира върху шпионаж и кражба на данни. Събраните до момента доказателства показват, че злонамерената дейност е започнала месец по-рано, преди да бъде засечена.

Китай обаче отхвърли обвиненията, че стои зад хакерския инцидент, като нарече САЩ „най-голямата хакерска империя в света и глобален киберкрадец“ и че е „крайно време САЩ да обяснят дейностите си по кибератаки и да спрат да разпространяват дезинформация, за да отклонят общественото внимание“.

Веригата от атаки е включвала кибершпиони, които са използвали подправени удостоверителни  токени, за да получат достъп до имейл акаунти на клиенти, използвайки Outlook Web Access в Exchange Online (OWA) и Outlook.com. Токените са били подправени с помощта на придобит ключ за подписване на потребителски акаунт в Microsoft (MSA). Точният метод, по който е бил защитен ключът, остава неясен.

Също така Storm-0558 е използвал за улесняване на достъпа до удостоверения два персонализирани инструмента за зловреден софтуер, наречени Bling и Cigril, последният от които е характеризиран като троянски кон, който декриптира криптирани файлове и ги изпълнява директно от системната памет, за да избегне откриване.

CISA заяви, че агенцията FCEB е успяла да идентифицира нарушението, като е използвала разширено регистриране в Microsoft Purview Audit, по-конкретно с помощта на действието MailItemsAccessed mailbox-auditing.

Освен това агенцията препоръчва на организациите да активират регистрирането в Purview Audit (Premium), да включат Microsoft 365 Unified Audit Logging (UAL) и да осигурят възможност за търсене в регистрите от страна на операторите, за да се даде възможност за издирване на този вид дейност и разграничаването ѝ от очакваното поведение в средата.

„Организациите се насърчават да търсят отклонения и да се запознаят с базовите модели, за да разберат по-добре необичайния спрямо нормалния трафик“, добавят CISA и ФБР.

Източник: The Hacker News

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
16 май 2024

Intel публикува 41 препоръки за сигурност за на...

Гигантът в областта на чиповете е пуснал пачове за повечето от тези...
16 май 2024

Украински и латвийски телевизии бяха отвлечени

Само в Украйна бяха прекъснати поне 15 телевизионни канала, което, ...
16 май 2024

Ascension Healthcare претърпява сериозна кибера...

Атаката прекъсна достъпа до електронните здравни досиета (ЕЗД) и си...
Бъдете социални
Още по темата
16/05/2024

Украински и латвийски телев...

Само в Украйна бяха прекъснати поне...
10/05/2024

Полша твърди, че руски воен...

Полша съобщава, че подкрепяна от държавата...
07/05/2024

Amnesty International посоч...

Нарастващото количество технологии за наблюдение, които...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!