Неназована федерална агенция на гражданската изпълнителна власт (FCEB) в САЩ е открила аномална активност по имейл в средата на юни 2023 г., което е довело до откриването от страна на Microsoft на нова шпионска кампания, свързана с Китай, насочена към две дузини организации.
Подробностите идват от съвместна консултация за киберсигурност, публикувана от Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) и Федералното бюро за разследване (ФБР) на 12 юли 2023 г.
„През юни 2023 г. федерална агенция на гражданската изпълнителна власт (ФГВР) установи подозрителна дейност в своята облачна среда на Microsoft 365 (M365)“, посочват органите. „Майкрософт установи, че напреднали постоянни заплахи (APT) са получили достъп и са ексфилтрирали некласифицирани данни от Outlook в Exchange Online.“
Въпреки че името на правителствената агенция не беше разкрито, CNN и Washington Post съобщиха, че това е Държавният департамент на САЩ, позовавайки се на запознати с въпроса. Обект на посегателство са били и Министерството на търговията, както и имейл акаунти, принадлежащи на служител на Конгреса, на американски защитник на правата на човека и на американски мозъчни тръстове. Броят на засегнатите организации в САЩ се оценява на едноцифрено число.
Разкритието идва ден, след като технологичният гигант приписа кампанията на нововъзникващ „базиран в Китай участник в заплахи“, когото следи под името Storm-0558, който е насочен предимно към правителствени агенции в Западна Европа и се фокусира върху шпионаж и кражба на данни. Събраните до момента доказателства показват, че злонамерената дейност е започнала месец по-рано, преди да бъде засечена.
Китай обаче отхвърли обвиненията, че стои зад хакерския инцидент, като нарече САЩ „най-голямата хакерска империя в света и глобален киберкрадец“ и че е „крайно време САЩ да обяснят дейностите си по кибератаки и да спрат да разпространяват дезинформация, за да отклонят общественото внимание“.
Веригата от атаки е включвала кибершпиони, които са използвали подправени удостоверителни токени, за да получат достъп до имейл акаунти на клиенти, използвайки Outlook Web Access в Exchange Online (OWA) и Outlook.com. Токените са били подправени с помощта на придобит ключ за подписване на потребителски акаунт в Microsoft (MSA). Точният метод, по който е бил защитен ключът, остава неясен.
Също така Storm-0558 е използвал за улесняване на достъпа до удостоверения два персонализирани инструмента за зловреден софтуер, наречени Bling и Cigril, последният от които е характеризиран като троянски кон, който декриптира криптирани файлове и ги изпълнява директно от системната памет, за да избегне откриване.
CISA заяви, че агенцията FCEB е успяла да идентифицира нарушението, като е използвала разширено регистриране в Microsoft Purview Audit, по-конкретно с помощта на действието MailItemsAccessed mailbox-auditing.
Освен това агенцията препоръчва на организациите да активират регистрирането в Purview Audit (Premium), да включат Microsoft 365 Unified Audit Logging (UAL) и да осигурят възможност за търсене в регистрите от страна на операторите, за да се даде възможност за издирване на този вид дейност и разграничаването ѝ от очакваното поведение в средата.
„Организациите се насърчават да търсят отклонения и да се запознаят с базовите модели, за да разберат по-добре необичайния спрямо нормалния трафик“, добавят CISA и ФБР.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.