Een spionagecampagne door Chinese hackers op Europese en Amerikaanse overheidsdiensten is aan het licht gebracht. De hackers vonden een achterpoortje in de mailservers van Microsoft.
Microsoft komt dan ook zelf met meer informatie naar buiten. In een dubbele blogpost schrijft het bedrijf dat 25 organisaties in West-Europa en de Verenigde Staten, waaronder overheidskabinetten, een maand lang in de gaten zijn gehouden. De daders achter de aanval is het Chinese hackerscollectief Storm-0558.
Wie de Europese slachtoffers kunnen zijn, is voorlopig onbekend. The Washington Post meent te weten dat aan Amerikaanse zijde de hackers onder meer toegang hadden tot het mailverkeer van Gina Raimondo, minister voor Econmische Zaken. Dat staaft de hypothese dat de hackers vanuit politieke motieven opereerden, want Raimondo is met haar kabinet mede verantwoordelijk voor de handelsrestricties die de Verenigde Staten doorduwen tegen China. Al zal Peking enige betrokkenheid uiteraard ontkennen.
Achterpoortje
Volgens dezelfde krant was het ook de Amerikaanse overheid die half juni aan Microsoft rapporteerde dat er iets niet pluis was op het interne netwerk. Microsoft startte hierop een onderzoek en ontdekte dat de indringers al minstens een maand aan het rondneuzen waren. De softwarereus moest ook een kleine mea culpa slagen want het was een kwetsbaarheid in de online mailservers die de deuren openzette.
De aanvallers wisten verificatietokens te vervalsen om via de webversie van Outlook en Exchange Online toegang te krijgen tot de mailaccounts van de slachtoffers. In bezit van de juiste sleutel konden ze zich onopgemerkt voordoen als de eigenaar van het account en het mailverkeer in de gaten houden. Microsoft bevestigt dat ze het lek hebben gemitigeerd.
Al bij al was Microsoft er nog snel bij om de aanvallers weg te jagen. Hackers slagen er vaak in om maandenlang onopgemerkt te blijven alvorens ze toeslaan. Dat is zeker het geval bij ‘espionage’, waarbij het doel van de aanvallers net is om onder de radar te blijven.
lees ook
Hackers gaan langs de achterdeur binnen en langs de voordeur weer buiten
Onzichtbaar
Het incident krijgt mogelijk nog een vervelend staartje voor Microsoft. Wall Street Journal bericht dat het voor organisaties die een E3-abonnement hadden afgesloten onmogelijk was om de aanvallers op het spoor te komen. Microsoft biedt twee formules aan voor enterprise-klanten: E3 en E5. Bij de duurdere formule E5 (59,70 euro per gebruiker per maand, excl. btw) krijg je uitgebreidere detectie- en beveiligingsmiddelen meegeleverd dan bij het basisabonnement E3 (37,70 euro per gebruiker per maand, excl. btw).
Omwille van de vernuftige technieken die de hackers gebruikt, uitgebreid beschreven door Microsoft, konden ze bij veel organisaties onder de radar blijven. Er waren namelijk specifieke loggegevens nodig die niet beschikbaar waren voor E3-abonnees.
De overheid vindt het niet kunnen dat Microsoft enkel de duurste abonnementen van alle beveiligingsmiddelen voorziet. “Elke organisatie die gebruik maakt van een technologiedienst als Microsoft 365 zou out of the box toegang moeten hebben tot logging en andere beveiligingsgegevens om kwaadaardige cyberactiviteiten te kunnen detecteren”, citeert Wall Street Journal een hooggeplaatste overheidsfunctionaris.
Dit artikel verscheen origineel op 13 juli. We hebben het een update gegeven met de meest recente informatie.