Angriff auf Exchange-Mails und vielleicht viel mehr
Mit einem kompromittierten Signing Key hat die APT-Gruppe Storm-0558 E-Mails amerikanischer und wohl auch europäischer Behörden ausspioniert. Die Tragweite könnte aber noch größer sein, und Microsoft lässt viele Fragen offen.
Am 11. Juli 2023 veröffentlichte Microsoft in zwei Blogbeiträgen, dass erfolgreiche Angriffe auf E-Mails in Exchange Online und Outlook.com bemerkt, aber inzwischen unterbunden wurden, und schrieb diese Angriffe einer mutmaßlich staatlichen chinesischen Hackergruppe zu, die man in Redmond unter dem Namen Storm-0558 führt (siehe ix.de/zg1b). Die Angreifer konnten ab dem 11. Mai 2023 auf E-Mails von circa 25 Organisationen zugreifen, die Microsoft-Cloud-Kunden waren, und zudem auf mehrere private E-Mail-Konten von deren Mitarbeitern. Am 16. Juni 2023 wurden die Angriffe entdeckt und anschließend, so Microsoft, die ausgenutzten Schwachstellen geschlossen.
Pikant an der Enthüllung sind vor allem zwei Dinge: Zum einen hat nicht Microsoft selbst die Angriffe entdeckt, sondern einer der betroffenen Microsoft-Kunden, und zwar eine US-Regierungsorganisation (amerikanische Medienberichte nennen das State Department). Dort hatten Intrusion-Detection-Mechanismen bemerkt, dass im Microsoft-365-Log dieses Kunden E-Mail-Zugriffe auf Outlook Web Access (OWA) mit ungewöhnlichen und unerwarteten ClientAppID- und AppID-Werten auftauchten (siehe ix.de/zg1b). Glücklicherweise hatte dieser Microsoft-Kunde die bis dato aufpreispflichtigen erweiterten Logs bei Microsoft gebucht, aus denen das ersichtlich wurde.