Une agence anonyme de la Federal Civilian Executive Branch (FCEB) aux États-Unis a détecté une activité de messagerie anormale à la mi-juin 2023, ce qui a conduit Microsoft à découvrir une nouvelle campagne d’espionnage liée à la Chine ciblant deux douzaines d’organisations.
Les détails proviennent d’un avis conjoint sur la cybersécurité publié par la US Cybersecurity and Infrastructure Security Agency (CISA) et le Federal Bureau of Investigation (FBI) le 12 juillet 2023.
« En juin 2023, une agence du Federal Civilian Executive Branch (FCEB) a identifié une activité suspecte dans son environnement cloud Microsoft 365 (M365) », ont indiqué les autorités. « Microsoft a déterminé que les acteurs de la menace persistante avancée (APT) ont accédé et exfiltré des données Exchange Online Outlook non classifiées. »
Bien que le nom de l’agence gouvernementale n’ait pas été révélé, CNN et le Washington Post ont rapporté qu’il s’agissait du département d’État américain, citant des personnes proches du dossier. Le département du commerce ainsi que les comptes de messagerie appartenant à un membre du Congrès, à un défenseur des droits de l’homme américain et à des groupes de réflexion américains étaient également ciblés. Le nombre d’organisations touchées aux États-Unis est estimé à un chiffre.
La divulgation intervient un jour après que le géant de la technologie a attribué la campagne à un « acteur menaçant basé en Chine » émergent qu’il suit sous le nom de Storm-0558, qui cible principalement les agences gouvernementales d’Europe occidentale et se concentre sur l’espionnage et le vol de données. Les preuves recueillies jusqu’à présent montrent que l’activité malveillante a commencé un mois plus tôt avant d’être détectée.
La Chine, cependant, a rejeté les accusations selon lesquelles elle était à l’origine de l’incident de piratage, qualifiant les États-Unis de « plus grand empire de piratage au monde et de cybervoleur mondial » et qu’il est « grand temps que les États-Unis expliquent leurs activités de cyberattaque et cessent de répandre la désinformation pour détourner l’attention du public ». . »
La chaîne d’attaque impliquait que les cyberespions exploitent de faux jetons d’authentification pour accéder aux comptes de messagerie des clients à l’aide d’Outlook Web Access dans Exchange Online (OWA) et Outlook.com. Les jetons ont été falsifiés à l’aide d’une clé de signature de consommateur de compte Microsoft (MSA) acquise. La méthode exacte par laquelle la clé a été sécurisée reste floue.
Storm-0558 utilise pour faciliter l’accès aux informations d’identification deux outils malveillants personnalisés nommés Bling et Cigril, ce dernier ayant été caractérisé comme un cheval de Troie qui décrypte les fichiers cryptés et les exécute directement à partir de la mémoire système afin d’éviter la détection.
La CISA a déclaré que l’agence FCEB a été en mesure d’identifier la violation en tirant parti de la journalisation améliorée dans Microsoft Purview Audit, en particulier à l’aide de l’action d’audit de boîte aux lettres MailItemsAccessed.
L’agence recommande en outre aux organisations d’activer la journalisation Purview Audit (Premium), d’activer la journalisation d’audit unifiée (UAL) de Microsoft 365 et de s’assurer que les opérateurs peuvent rechercher les journaux afin de permettre la recherche de ce type d’activité et de la différencier du comportement attendu dans l’environnement. .
« Les organisations sont encouragées à rechercher des valeurs aberrantes et à se familiariser avec les modèles de base pour mieux comprendre le trafic anormal par rapport au trafic normal », ont ajouté la CISA et le FBI.
