Неназована федерална агенция на гражданската изпълнителна власт (FCEB) в САЩ е открила аномална активност по имейл в средата на юни 2023 г., което е довело до откриването от страна на Microsoft на нова шпионска кампания, свързана с Китай, насочена към две дузини организации.

Подробностите идват от съвместна консултация за киберсигурност, публикувана от Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) и Федералното бюро за разследване (ФБР) на 12 юли 2023 г.

„През юни 2023 г. федерална агенция на гражданската изпълнителна власт (ФГВР) установи подозрителна дейност в своята облачна среда на Microsoft 365 (M365)“, посочват органите. „Майкрософт установи, че напреднали постоянни заплахи (APT) са получили достъп и са ексфилтрирали некласифицирани данни от Outlook в Exchange Online.“

Въпреки че името на правителствената агенция не беше разкрито, CNN и Washington Post съобщиха, че това е Държавният департамент на САЩ, позовавайки се на запознати с въпроса. Обект на посегателство са били и Министерството на търговията, както и имейл акаунти, принадлежащи на служител на Конгреса, на американски защитник на правата на човека и на американски мозъчни тръстове. Броят на засегнатите организации в САЩ се оценява на едноцифрено число.

Разкритието идва ден, след като технологичният гигант приписа кампанията на нововъзникващ „базиран в Китай участник в заплахи“, когото следи под името Storm-0558, който е насочен предимно към правителствени агенции в Западна Европа и се фокусира върху шпионаж и кражба на данни. Събраните до момента доказателства показват, че злонамерената дейност е започнала месец по-рано, преди да бъде засечена.

Китай обаче отхвърли обвиненията, че стои зад хакерския инцидент, като нарече САЩ „най-голямата хакерска империя в света и глобален киберкрадец“ и че е „крайно време САЩ да обяснят дейностите си по кибератаки и да спрат да разпространяват дезинформация, за да отклонят общественото внимание“.

Веригата от атаки е включвала кибершпиони, които са използвали подправени удостоверителни  токени, за да получат достъп до имейл акаунти на клиенти, използвайки Outlook Web Access в Exchange Online (OWA) и Outlook.com. Токените са били подправени с помощта на придобит ключ за подписване на потребителски акаунт в Microsoft (MSA). Точният метод, по който е бил защитен ключът, остава неясен.

Също така Storm-0558 е използвал за улесняване на достъпа до удостоверения два персонализирани инструмента за зловреден софтуер, наречени Bling и Cigril, последният от които е характеризиран като троянски кон, който декриптира криптирани файлове и ги изпълнява директно от системната памет, за да избегне откриване.

CISA заяви, че агенцията FCEB е успяла да идентифицира нарушението, като е използвала разширено регистриране в Microsoft Purview Audit, по-конкретно с помощта на действието MailItemsAccessed mailbox-auditing.

Освен това агенцията препоръчва на организациите да активират регистрирането в Purview Audit (Premium), да включат Microsoft 365 Unified Audit Logging (UAL) и да осигурят възможност за търсене в регистрите от страна на операторите, за да се даде възможност за издирване на този вид дейност и разграничаването ѝ от очакваното поведение в средата.

„Организациите се насърчават да търсят отклонения и да се запознаят с базовите модели, за да разберат по-добре необичайния спрямо нормалния трафик“, добавят CISA и ФБР.