De aan de Chinese overheid gelieerde hackers Storm-0558 hebben in mei 60.000 e-mails van de Amerikaanse overheid gestolen. Ze deden dit via Microsoft-platform Exchange.
De Chinese staatshackers wisten in hun hackaanval Microsoft Outlook te treffen en toegang te krijgen tot de e-mailaccounts van Amerikaanse diplomaten in Oost-Azië, de Pacific en Europa, schrijft Reuters.
Naast de 60.000 niet-geclassificeerde e-mails kregen de hackers van Storm-0558 ook een lijst in handen van alle e-mailaccounts van het Amerikaanse ministerie van Buitenlandse Zaken.
Inmiddels heeft het State Departement de aanval en de e-maildiefstal bevestigd.
Aanvalsmethode
De aanvallers wisten de e-mails te bemachtigen via een aanval op Microsoft Outlook. In mei van dit jaar maakte de techgigant bekend dat onbekende hackers Outlook-accounts van 25 verschillende organisaties hebben gecompromitteerd, waaronder Amerikaanse ministeries en consumentenaccounts die daartoe een relatie hadden.
De hackers van Storm-0558 kregen daarvoor eerst een consumenten signing key uit een Windows crash dump in handen. Deze crash dump werd gestolen nadat de zakelijke account van een Microsoft-medewerker was gekraakt. Hierdoor kregen zij uiteindelijk toegang tot de e-mailaccounts van de Amerikaanse overheid.
De gestolen MSA key werd gebruikt om Exchange Online- en AD-accounts te compromitteren door een nog niet-gepatchte zero-day validatiekwetsbaarheid in de GetAccessTokenForResourceAPI uit te buiten. Hierdoor konden de hackers valse signed access tokens genereren en die gebruiken om zich voor te doen als accounts binnen de doelwitten.
Reactie Microsoft
Microsoft heeft als reactie de gestolen signing key ingetrokken. Ook heeft de techgigant geconcludeerd dat er geen niet-geautoriseerde toegang tot klantenaccounts heeft plaatsgevonden via access token-vervalsing.
Verder maakt de techgigant nu gratis meer toegang mogelijk tot cloud logging data. Hiermee kunnen securityexperts beter potentiële inbreuken identificeren waarbij (vervalste) access tokens worden gebruikt.
Lees meer: Chinese e-mailhack enkel detecteerbaar met duurste Microsoft-abonnement
20 uur geleden
