หน่วยงาน Federal Civilian Executive Branch (FCEB) ในสหรัฐอเมริกาตรวจพบกิจกรรมอีเมลที่ผิดปกติในช่วงกลางเดือนมิถุนายน 2023 ซึ่งนำไปสู่การค้นพบของ Microsoft ในการจารกรรมใหม่ที่เชื่อมโยงกับจีนโดยกำหนดเป้าหมายในหลายองค์กร
รายละเอียดดังกล่าวมาจากคำแนะนำร่วมกันด้านความปลอดภัยทางไซเบอร์ที่ออกโดยสำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐ (CISA) และสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) เมื่อวันที่ 12 กรกฎาคม 2023
“ในเดือนมิถุนายน 2023 หน่วยงาน Federal Civilian Executive Branch (FCEB) ตรวจพบกิจกรรมที่น่าสงสัยใน Cloud environment Microsoft 365 (M365)” เจ้าหน้าที่กล่าว “Microsoft ระบุว่าตัวแสดงภัยคุกคามขั้นสูงแบบถาวร (APT) เข้าถึงและกรองข้อมูล Exchange Online Outlook ที่ไม่ได้จัดประเภท”
แม้จะไม่มีการเปิดเผยชื่อหน่วยงานรัฐบาล แต่ CNN และ Washington Post รายงานว่าเป็นกรมการต่างประเทศของสหรัฐฯ โดยอ้างถึงบุคคลที่รู้จักเกี่ยวกับเรื่องนี้ นอกจากนี้ยังมีการโจมตีกรมพาณิชย์และบัญชีอีเมลของผู้ช่วยสมาชิกสภา ผู้สนับสนุนสิทธิมนุษยชนของสหรัฐฯ และคณะกรรมการคิดเชิงกลยุทธ์ของสหรัฐฯ จำนวนองค์กรที่ได้รับผลกระทบในสหรัฐฯ ประมาณไม่ถึง 10
การเปิดเผยดังกล่าวมีขึ้นหนึ่งวันหลังจากที่บริษัทยักษ์ใหญ่ด้านเทคโนโลยีระบุว่าโจมตีครั้งนี้เป็น “ผู้ก่อภัยคุกคามในจีน” ที่เกิดขึ้นใหม่ภายใต้ชื่อ Storm-0558 ซึ่งมีเป้าหมายหลักคือหน่วยงานรัฐบาลในยุโรปตะวันตกและมุ่งเน้นไปที่การจารกรรมและการโจรกรรมข้อมูล หลักฐานที่รวบรวมได้แสดงให้เห็นว่ากิจกรรมที่เป็นอันตรายเริ่มขึ้นหนึ่งเดือนก่อนหน้านี้ก่อนที่จะถูกตรวจพบ
อย่างไรก็ตาม จีนปฏิเสธข้อกล่าวหาว่าอยู่เบื้องหลังเหตุการณ์แฮ็ก โดยเรียกสหรัฐฯ ว่า “อาณาจักรแฮ็กที่ใหญ่ที่สุดในโลกและโจรไซเบอร์ระดับโลก” และว่า “ถึงเวลาแล้วที่สหรัฐฯ จะอธิบายกิจกรรมการโจมตีทางไซเบอร์ของตนและหยุดเผยแพร่ข้อมูลเท็จเพื่อเบี่ยงเบนความสนใจของสาธารณชน”
ห่วงโซ่การโจมตีเกี่ยวข้องกับสายลับไซเบอร์ที่ใช้ประโยชน์จากโทเค็นการตรวจสอบสิทธิ์ปลอมเพื่อเข้าถึงบัญชีอีเมลของลูกค้าโดยใช้ Outlook Web Access ใน Exchange Online (OWA) และ Outlook.com โทเค็นถูกปลอมแปลงโดยใช้คีย์การลงนามของผู้บริโภคของบัญชี Microsoft (MSA) ที่ได้มา วิธีการที่แน่นอนในการรักษาความปลอดภัยของคีย์นั้นยังไม่ชัดเจน
นอกจากนี้ยังใช้โดย Storm-0558 เพื่ออำนวยความสะดวกในการเข้าถึงข้อมูลซึ่งรับรองด้วยเครื่องมือมัลแวร์แบบกำหนดเองสองตัวชื่อ Bling และ Cigrill ซึ่งตัวหลังมีลักษณะเหมือนโทรจันที่ถอดรหัสไฟล์ที่เข้ารหัสและเรียกใช้งานโดยตรงจากหน่วยความจำระบบเพื่อหลีกเลี่ยงการตรวจจับ
CISA กล่าวว่าหน่วยงาน FCEB สามารถระบุการละเมิดได้โดยใช้ประโยชน์จากการบันทึกขั้นสูงใน Microsoft Purview Audit โดยเฉพาะโดยใช้การดำเนินการตรวจสอบกล่องจดหมาย MailItemsAccessed
หน่วยงานยังแนะนำให้องค์กรต่างๆ เปิดใช้งานการบันทึก Purview Audit (พรีเมียม) เปิดใช้ Microsoft 365 Unified Audit Logging (UAL) และตรวจสอบให้แน่ใจว่าผู้ปฏิบัติงานสามารถค้นหาบันทึกได้ เพื่ออนุญาตการค้นหากิจกรรมประเภทนี้ และแยกความแตกต่างจากลักษณะการทำงานที่คาดหวังสภาพแวดล้อมภายใน
“องค์กรควรมองหาความผิดปกติและทำความคุ้นเคยกับรูปแบบพื้นฐานเพื่อทำความเข้าใจการรับส่งข้อมูลที่ผิดปกติเทียบกับช่วงปกติ” CISA และ FBI กล่าวเสริม
Source: thehackernews.com
