Chinesische Hacker haben eine Schwachstelle im Cloud-E-Mail-Dienst von Microsoft ausgenutzt, um Zugriff auf die E-Mail-Konten von US-Regierungsmitarbeitern zu erhalten, wie der Technologieriese bestätigt hat.
Laut Microsoft hat die Hackergruppe, die als Storm-0558 verfolgt wird, etwa 25 E-Mail-Konten, darunter Regierungsbehörden, sowie zugehörige Verbraucherkonten kompromittiert, die mit Personen verknüpft sind, die mit diesen Organisationen verbunden sind. „Storm“ ist ein Spitzname, den Microsoft verwendet, um Hacking-Gruppen zu verfolgen, die neu, aufstrebend oder „in der Entwicklung“ sind.
Microsoft hat die von Storm-0558 angegriffenen Regierungsbehörden nicht identifiziert. Allerdings bestätigte Adam Hodge, ein Sprecher des Nationalen Sicherheitsrats des Weißen Hauses, gegenüber Tech, dass US-Regierungsbehörden betroffen seien.
„Letzten Monat haben Sicherheitsvorkehrungen der US-Regierung einen Eingriff in die Cloud-Sicherheit von Microsoft festgestellt, der nicht klassifizierte Systeme betraf“, sagte Hodge gegenüber Tech in einer Erklärung. „Beamte kontaktierten sofort Microsoft, um die Quelle und Schwachstelle in ihrem Cloud-Dienst zu finden. Wir stellen die Beschaffungsdienstleister der US-Regierung weiterhin an eine hohe Sicherheitsschwelle.
Die Untersuchung von Microsoft ergab, dass Storm-0558, eine in China ansässige Hackergruppe, die das Unternehmen als „gut ausgestatteten“ Gegner bezeichnet, sich über Outlook Web Access in Exchange Online (OWA) und Outlook.com Zugriff auf E-Mail-Konten verschafft hat, indem sie Authentifizierungstoken gefälscht hat um auf Benutzerkonten zuzugreifen. In seinem Technische Analyse des AngriffsMicrosoft erklärte, dass die Hacker einen erworbenen Microsoft-Consumer-Signaturschlüssel verwendet hätten, um Token für den Zugriff auf OWA und Outlook.com zu fälschen. Dann nutzten die Hacker ein Problem bei der Token-Validierung aus, um sich als Azure AD-Benutzer auszugeben und Zugriff auf Unternehmens-E-Mail-Konten zu erhalten.
Die böswilligen Aktivitäten von Storm-0885 blieben etwa einen Monat lang unentdeckt, bis Kunden Microsoft auf ungewöhnliche E-Mail-Aktivitäten aufmerksam machten, sagte Microsoft.
„Wir gehen davon aus, dass dieser Gegner sich auf Spionage konzentriert, beispielsweise auf den Zugriff auf E-Mail-Systeme zur Informationsbeschaffung. Diese Art von durch Spionage motivierten Angreifern versucht, Zugangsdaten zu missbrauchen und Zugriff auf Daten in sensiblen Systemen zu erhalten“, sagte Charlie Bell, Microsofts Top-Cybersicherheitsmanager.
Microsoft sagte, der Angriff sei erfolgreich abgewehrt worden und Storm-0558 habe keinen Zugriff mehr auf die kompromittierten Konten. Das Unternehmen hat jedoch nicht gesagt, ob in dem einmonatigen Zeitraum, in dem die Angreifer Zugriff hatten, sensible Daten herausgefiltert wurden.