微軟披露,一個名為Storm-0558的中國駭客組織,通過利用其雲端中的漏洞獲得了聯邦政府電子郵件帳號的存取權限
美國一家未透露姓名的聯邦文職行政部門 (Federal Civilian Executive Branch-FCEB) 機構於 2023 年 6 月中旬檢測到異常電子郵件活動,導致微軟發現了一項針對二十多個組織的新的與中國相關的間諜活動。
據美國網路安全和基礎設施安全局(CISA)和聯邦調查局(FBI)於2023年7月12日發布的聯合安全諮詢,中國駭客組織利用微軟遠端平台中發現的安全漏洞存取了包括美國政府機構在內的 25個組織的電子郵件帳號。當局表示:“2023 年 6 月,聯邦文職行政部門 (FCEB) 機構在其 Microsoft 365 (M365) 雲端環境中發現了可疑活動,微軟確定高級持續威脅 (APT) 攻擊者存取並外洩了非機密 Exchange Online Outlook 數據。雖然該政府機構的名稱並未透露,但美國有線電視新聞網《CNN》和《華盛頓郵報》援引知情人士表示,該機構是美國國務院,商務部以及國會工作人員、美國人權倡導者和美國智囊團的電子郵件帳號也帳號成為攻擊目標。
微軟於7月11日將此次活動歸因於一個名為 Storm-0558 的新興中國駭客組織,該組織主要針對西歐政府機構,專注於間諜活動和數據盜竊。到目前為止收集的證據表明,微軟得出結論,從 5 月 15 日開始, Storm-0558獲得了屬於大約 25 個獨立組織(包括政府實體)的電子郵件帳戶的存取權限。該公司在近一個月後開始調查異常郵件活動,並確定 Storm -0558 使用偽造的身份認證權杖來獲取帳戶的存取權限。根據公告,駭客使用 Exchange Online 和 Outlook.com 中的 Microsoft Outlook Web Access 來存取非機密電子郵件帳號,這顯然是收集情報和“實現間諜目標”的一部分。Storm-0558 還使用兩個名為 Bling 和Cigril的自訂義惡意軟體工具來促進憑證權限,Cigril被描述為一種特洛伊木馬程式,可以解密加密檔案並直接從系統內存運行它們以避免檢測。微軟表示,攻擊已成功緩解,Storm-0558 無法再存取受感染的帳號。然而,該公司尚未透露在攻擊者帳號的一個月時間內是否有任何敏感數據被洩露。
美國CISA在一份報告中表示,攻擊者存取了非機密電子郵件數據,一名聯邦調查局高級官員將這次長達一個月的入侵描述為一場“有針對性的行動”,他拒絕證實受害者總數,但表示受影響的政府機構數量為個位數,該官員拒絕透露受影響機構的名稱。CISA 表示,FCEB 機構能夠通過利用 Microsoft Purview Audit 中的增強日誌記錄功能(特別是使用MailItemsAccessed郵箱審核操作)來識別入侵行為。該機構進一步建議組織啟用 Purview Audit (Premium) 日誌記錄,打開 Microsoft 365 統一審核日誌記錄 ( UAL ),並確保操作員可以搜索日誌,以允許搜索此類活動並將其與環境中的預期行為區分開來。CISA 和 FBI 補充道:“鼓勵組織尋找異常值並熟悉基線模式,以更好地了解異常流量與正常流量。
然而,中國否認了駭客事件背後的指控,中國外交部發言人汪文斌週四(7/13)敦促美國官員提供有關駭客攻擊的更多細節,稱美國是世界上最大的駭客帝國和全球網路竊賊,並稱美國現在是解釋其網路攻擊活動並停應止散佈假訊息以轉移公眾注意力的時候。