Một cơ quan không được tiết lộ thuộc nhóm Bộ máy điều hành Dân sự Liên bang (FCEB) của Hoa Kỳ đã phát hiện hoạt động email bất thường vào giữa tháng 6 năm 2023, dẫn đến việc Microsoft phát hiện một chiến dịch gián điệp mới liên quan đến Trung Quốc nhắm vào hơn hai mươi tổ chức của Hoa Kỳ.

Thông tin này được công bố thông qua một cảnh báo chung về an ninh mạng do Cơ quan An ninh và Cơ sở hạ tầng CNTT Hoa Kỳ (CISA) và Cục điều tra Liên bang (FBI) phát hành vào ngày 12 tháng 7 năm 2023.

"Vào tháng 6 năm 2023, một cơ quan của Bộ máy điều hành Dân sự Liên bang (FCEB) đã phát hiện hoạt động đáng ngờ trong môi trường Cloud Microsoft 365 (M365) của họ," các cơ quan cho biết. "Microsoft xác định rằng các tác nhân đe dọa kiên trì tiến hành truy cập và lấy đi dữ liệu Outlook trực tuyến không phân loại."

Trong khi tên của cơ quan chính phủ không được tiết lộ, CNN và Washington Post đều cho biết rằng đó là Bộ Ngoại giao Hoa Kỳ, dựa trên thông tin từ những người quen thuộc với vụ việc. Ngoài ra, các tổ chức như Bộ Thương mại cũng đã bị nhắm mục tiêu, cùng với tài khoản email của một nhân viên trong Quốc hội, một nhà hoạt động quyền con người và các viện nghiên cứu của Hoa Kỳ. Số lượng tổ chức bị ảnh hưởng tại Hoa Kỳ được ước tính chỉ ở mức đơn số.

Công bố diễn ra một ngày sau khi công ty công nghệ này đã đưa thông tin cho biết chiến dịch do một "nhóm tác nhân nguy hiểm dựa trên Trung Quốc" mà họ theo dõi dưới tên Storm-0558 thực hiện, chủ yếu nhắm vào các cơ quan chính phủ tại Tây Âu và tập trung vào gián điệp và trộm dữ liệu. Các bằng chứng thu thập cho thấy hoạt động xâm nhập bắt đầu một tháng trước khi nó được phát hiện.

Tuy nhiên, Trung Quốc đã phủ nhận cáo buộc rằng họ đứng sau vụ tấn công hack này, gọi Hoa Kỳ là "đế chế hacking lớn nhất thế giới và tên trộm mạng toàn cầu" và rằng "đã đến lúc Hoa Kỳ giải thích các hoạt động tấn công mạng của mình và ngừng lan truyền thông tin sai lệch để lôi kéo sự chú ý của công chúng".

Cuộc tấn công này đã sử dụng chuỗi tấn công bằng các mã thông báo xác thực giả mạo để truy cập vào các tài khoản email khách hàng sử dụng Outlook Web Access trong Exchange Online (OWA) và Outlook.com. Các mã thông báo này được tạo giả bằng cách sử dụng một chìa khóa đăng nhập người tiêu dùng tài khoản Microsoft (MSA) đã được thu thập. Phương pháp chính xác mà chìa khóa được bảo vệ vẫn chưa rõ.

Storm-0558 cũng sử dụng hai công cụ độc hại tùy chỉnh là Bling và Cigril để tạo điều kiện truy cập thông tin đăng nhập. Cigril đã được đánh giá là một loại trojan có khả năng giải mã các tệp tin đã được mã hóa và chạy chúng trực tiếp từ bộ nhớ hệ thống để tránh bị phát hiện.

CISA cho biết cơ quan FCEB đã phát hiện việc xâm nhập bằng cách tận dụng khả năng ghi nhật ký nâng cao trong Microsoft Purview Audit, cụ thể là sử dụng hành động kiểm tra thư trong hộp thư MailItemsAccessed.

Cơ quan này cũng khuyến nghị rằng các tổ chức nên kích hoạt ghi nhật ký Purview Audit (Premium), bật chế độ ghi nhật ký Microsoft 365 Unified Audit Logging (UAL) và đảm bảo rằng các nhật ký có thể được tìm kiếm bởi các nhân viên điều hành để phát hiện hoạt động này và phân biệt nó với hành vi dự kiến trong môi trường.

"Các tổ chức được khuyến nghị nên tìm kiếm những điểm khác biệt và làm quen với các mẫu cơ bản để hiểu rõ sự khác biệt giữa lưu lượng không bình thường và bình thường", CISA và FBI thêm vào.