Microsoft liet deze week weten dat Chinese hackers spionage-activiteiten uitvoerden op Amerikaanse organisaties. Onder de gelekte informatie zouden ook de e-mailberichten van handelssecretaris Gina Raimondo vallen, die een cruciale rol speelt in de exportrestricties naar China rondom computerchips.
De e-mailhack zou sinds mei hebben plaatsgevonden, waarna Microsoft medio juni de hackersgroep in het vizier had. De techgigant heeft de groep Storm-0558 genoemd en aangegeven dat ongeveer 25 organisaties gecompromitteerd waren. Men verkreeg toegang tot de e-mailaccounts door neppe authentication tokens in te zetten via een Microsoft-account (MSA) consumer signing key, kortweg MSA-key. Inmiddels heeft men stappen gezet om herhaling te voorkomen.
Ook West-Europa getroffen
De spionage-activiteiten hadden zich dus vooral gericht op Amerika. Echter bericht Bloomberg dat ook West-Europese autoriteiten getroffen zijn door het lek. Volgens Amerikaanse bronnen van deze outlet ging het gehele aanvalsplan om een kleine groep doelwitten. De CISA en FBI raden organisaties aan om de security van hun Microsoft 365 cloud-omgevingen aan te sterken.
Op Europees gebied is nog niet helemaal duidelijk wie aangevallen is. Italiaanse security-experts zouden in contact zijn met Microsoft om potentiële doelwitten in dat land te identificeren.
Retoriek heen en weer
Geheel naar verwachting kiest China ervoor om op de ontwikkeling te reageren met een sneer richting Amerika. Volgens de woordvoerder van buitenlandse zaken Wang Wenbin is het juist Amerika dat de grootste spionage- en cyber-dreiging is ter wereld.
Het is een terugkerende retoriek in de zogeheten “Chip War”, zoals Bloomberg het veelal noemt.
MSA-keys
Zoals gezegd ging het bij deze e-mailhack om het vervalsen van tokens die nodig zijn om bij een account in te loggen. De MSA-key die hiervoor nodig is, is volgens security-expert Sami laiho niet zomaar te krijgen. Tegenover Bloomberg suggereert hij dat het mogelijk is dat Microsoft zelf gecompromitteerd is geweest. Wat dat betreft is het niet onlogisch dat de techgigant zich daar niet over uitlaat. Immers hoeft het een dergelijk incident naar alle waarschijnlijkheid alleen aan Amerikaanse autoriteiten kenbaar te maken.
Wel meent een andere Bloomberg-bron dat het hier gaat om een belangrijke spanningsbron tussen de VS en Microsoft. Het gebrek aan gratis logging binnen Microsoft-producten zou verder onderzoek belemmeren. Zonder logs is er immers niet duidelijk wat er precies in een systeem is gebeurd, waardoor eveneens de SolarWinds-hack moeilijker op te lossen was dan het had hoeven zijn. Microsoft bewaart ze wel zelf en kan voor een klant daar naar bewijs zoeken, maar de bron spreekt over een “recept voor inadequate visibility in wat er binnen een netwerk is gebeurd.”
Lees ook: Hackers verspreiden malware in Windows-kernel via opensource-software
2 dagen geleden
