Microsoft verbreekt de toegang van hackers tot e-mail van de overheid e-mailaccounts

Microsoft heeft aangekondigd dat het onlangs een hackergroep, genaamd Storm-0558, heeft geblokkeerd die toegang had tot e-mail. e-mailaccounts van ongeveer 25 organisaties, waaronder overheidsinstanties.

Hoe hackers toegang kregen tot e-mail e-mailaccounts

In een blogpost zei Microsoft dat op 16 juni begon ongebruikelijke activiteit op sommige e-mails te onderzoeken. e-mailaccounts wanneer gerapporteerd door klanten. Uit het onderzoek bleek dat vanaf 15 mei een hackgroep misbruikte de kwetsbaarheid om authenticatietokens te vervalsen en in te loggen op de Microsoft 365-accounts van organisaties. Door een gecompromitteerde ondertekeningssleutel van een Microsoft-gebruikersaccount te gebruiken, konden hackers zich voordoen als gebruikers en toegang krijgen tot e-mails. e-mailaccounts met services zoals Outlook Web Access en Outlook.com. Volgens een recent gezamenlijk advies van de Cybersecurity and Infrastructure Security Agency (CISA) en de FBI merkte de federale instantie verdachte activiteit op in haar Microsoft 365-logboeken. Als gevolg hiervan bleken geavanceerde persistente bedreigingsactoren toegang te hebben tot gegevens van sommige Exchange Online Outlook-accounts en deze te hebben geëxfiltreerd.

Wat is Storm-0558?

Volgens het profiel van de Storm-0558-acteur van Microsoft is de groepsbeschrijving als volgt: Storm-0558 (DEV-0558) is een in China gevestigde operationele groep. Ze richten zich op spionage, gegevensdiefstal en toegang tot inloggegevens. Het is ook bekend dat ze aangepaste malware gebruiken die door Microsoft wordt gecontroleerd als Cigril en Bling om toegang te krijgen tot inloggegevens.

Hoe het probleem is opgelost

CISA en de FBI adviseerden organisaties die Exchange Online gebruiken om verbeterde monitoring en logging te implementeren om soortgelijke aanvallen te detecteren. Hun aanbevelingen omvatten het inschakelen van geavanceerde functies voor auditlogboeken en inzicht in standaard cloudverkeerspatronen. Microsoft zegt dat het het probleem volledig heeft opgelost en de toegang voor hackers heeft geblokkeerd. Het werkt samen met getroffen klanten en bracht hen op de hoogte voordat het de openbare aankondiging deed. Het bedrijf zei dat het geen bewijs vond dat de hackers op een van de systemen van het bedrijf achterbleven.

Het beperken van toekomstige cyberaanvallen

Deze nieuwste activiteit komt omdat cyberaanvallen op organisaties over de hele wereld toenemen. De Amerikaanse senator Mark R. Warner, voorzitter van de Senate Select Committee on Intelligence, sprak zijn bezorgdheid uit over de rapporten van de laatste cyberaanval en wat er nodig zou zijn om toekomstige incidenten te voorkomen. “De inlichtingencommissie van de Senaat houdt de aanzienlijke inbreuk op de cyberbeveiliging door de Chinese inlichtingendienst nauwlettend in de gaten. Het is duidelijk dat de Volksrepubliek China voortdurend bezig is met het verbeteren van zijn cyberverzamelcapaciteiten tegen de VS en onze bondgenoten. Nauwe coördinatie tussen de Amerikaanse regering en de particuliere sector zal van cruciaal belang zijn om deze dreiging het hoofd te bieden. Microsoft is van plan de beveiliging van accountsleutels en tokens te blijven verbeteren om zich ontwikkelende cyberrisico’s aan te pakken. Het benadrukt de noodzaak van voortdurende samenwerking en transparantie om de verdediging van de technologie-industrie tegen geavanceerde hackcampagnes te versterken.
Uitgelichte afbeelding: Koshiro K/Shutterstock

Relevante berichten