Dold i den grundläggande infrastruktur som driver den amerikanska militären finns en kraftfull Windows-buren kinesisk skadlig kod som kan störa kommunikationssystem, elnät och vattenförsörjning på militärbaser runt om i världen. En amerikansk kongressmedarbetare kallar det en ”tickande bomb” som enligt New York Times ”skulle kunna ge Kina makten att avbryta eller fördröja amerikanska militära utplaceringar eller försörjningsinsatser genom att stänga av el, vatten och kommunikation till amerikanska militärbaser”.
Den slutliga effekten kan bli ännu värre, konstaterar tidningen, eftersom företag och människor använder samma infrastruktur.
Det är inte det enda framgångsrika kinesiska hacket av Microsoft-produkter som riktar sig mot viktiga amerikanska institutioner. Ett annat riktar in sig på Outlook och molnet och har använts för att bryta sig in i e-postkontona för den amerikanska handelsministern Gina Raimondo och olika tjänstemän vid utrikesdepartementet. Enligt Microsoft är hacket, som kallas Storm-0558, ”inriktat på spionage, datastöld och åtkomst till inloggningsuppgifter”.
Dessa typer av regeringsinriktade hack av Microsoft-produkter har hänt tidigare. Men den här gången kan svaret från den amerikanska regeringen se annorlunda ut. Tidigare har företaget inte drabbats av några konsekvenser av attackerna. Nu kan kongressen komma att undersöka saken – och en framstående senator har redan uppmanat flera federala myndigheter att utreda Microsoft för att ha brutit mot lagen på grund av sin försumlighet.
Kapning av Outlook-mejl
Det kinesiska e-posthacket riktade sig inte mot den amerikanska militären utan mot federala institutioner som kunde skada eller hjälpa den kinesiska ekonomin. Det mest inflytelserika offret, Raimondo, är chef för den myndighet som förbjöd export av amerikansk teknik som man hävdar hjälper den kinesiska militären och används för att kränka de mänskliga rättigheterna. Bland de förbjudna produkterna finns halvledare som används för artificiell intelligens och superdatorer.
I Peking har ledarna högljutt klagat över att förbudet är en form av ekonomisk krigföring. Bakom kulisserna har man dock gjort mer än att klaga. Man har hackat sig in i inte bara Raimondos konton, utan även, rapporterar Washington Post, ”e-postkontona hos en kongressledamot, en amerikansk människorättsförsvarare och amerikanska tankesmedjor.”
FBI hävdar att ingen sekretessbelagd information har läckt ut eller stulits. Det betyder dock inte att intrånget inte är allvarligt. Att kunna läsa privata mejl från Raimondo, tjänstemän på utrikesdepartementet och andra skulle kunna ge Kina en enorm mängd insiderinformation om USA:s planer för hur man ska hantera Kina i framtiden.
Före detta tjänstemän säger att hacket ”skulle ha gjort det möjligt för Peking att se in i diplomaternas planering för en rad viktiga besök i Kina i juni och juli av amerikanska regeringsmedlemmar, inklusive utrikesminister Antony Blinken, Raimondo och USA:s finansminister Janet Yellen”, enligt Newsweek.
Vid intrånget förfalskades autentiseringstokens som används av Outlook Web Access i Exchange Online (OWA) och Outlook.com, vilket gjorde det möjligt för kinesiska hackare att få tillgång till tjänstemännens e-postkonton och kalenderobjekt. Amerikanska organisationer och tjänstemän var inte de enda offren – även tjänstemän i Västeuropa drabbades.
Intrånget upptäcktes först den 16 juni, ungefär samtidigt som Blinken reste till Kina. Men Charlie Bell, vice vd för Microsoft Security, skrev i ett blogginlägg att angreppet inleddes den 15 maj och att det nu har ”mildrats” – hålet har stängts.
Riktad mot militär infrastruktur
Det andra intrånget, skadeprogrammet som riktar in sig på militär infrastruktur, upptäcktes i maj när Microsoft hittade kod som såg konstig ut i telekommunikationssystem i Guam. Upptäckten oroade amerikanska tjänstemän, eftersom Guam har en hamn och en stor flygbas som sannolikt skulle användas om USA svarade på en invasion eller blockad av Taiwan.
Microsoft pekade ut en kinesisk regeringssponsrad hackargrupp, Volt Typhoon, som ansvarig för attacken. Hackarna var särskilt noga med att dölja sina spår och göra infektionen svårare att upptäcka. De smälte samman strömmen av skadlig trafik med ”normal nätverksaktivitet genom att dirigera trafik via komprometterad nätverksutrustning för små kontor och hemmakontor, inklusive routrar, brandväggar och VPN-hårdvara. De har också observerats använda anpassade versioner av verktyg med öppen källkod för att upprätta en C2-kanal (Command and Control) via proxy för att ytterligare hålla sig under radarn.”
Företaget drog slutsatsen: ”Microsoft bedömer med måttligt förtroende att denna Volt Typhoon-kampanj strävar efter att utveckla kapacitet som kan störa kritisk kommunikationsinfrastruktur mellan USA och Asienregionen under framtida kriser.”
Federala säkerhetstjänstemän säger att hackarkampanjen hade varit på gång i minst ett år. Och de upptäckte att attacken riktade sig mot mål långt bortom Guam, som kritisk infrastruktur och kommunikationssystem på militärbaser över hela världen.
Eftersom attackerna har varit så väl dolda är amerikanska tjänstemän inte ens säkra på problemets omfattning. Det är tillräckligt allvarligt för att det har hållits en rad möten i Vita husets situationsrum, och Biden-administrationen har informerat kongressen, delstatsguvernörer och elbolag om det.
Kongressen träder in
Kongressen har inlett utredningar som för närvarande fokuserar på e-posthacket. Man tittar bortom bara kinesisk skuld och undersöker om Microsoft bär ansvar för dåliga säkerhetsrutiner i sitt mångmiljardkontrakt med regeringen. Det kontraktet är nu potentiellt i farozonen.
Mer än ett halvt dussin senatorer från båda partierna har skrivit till utrikesdepartementet och begärt mer information om intrånget och om hur Outlook kan skyddas bättre i framtiden. Det hela sköttes på ett i sammanhanget ganska milt sätt.
Men till viss del var det bara en fasad. Republikanske senatorn Eric Schmitt var den drivande kraften bakom brevet, och han har Microsoft i skottgluggen. Bara några veckor innan brevet skickades infogade Schmitt en skrivelse i det årliga försvarsförslaget som ålägger försvarsdepartementets cio John Sherman att rapportera till kongressen om ”risker och fördelar” med att köpa cybersäkerhetsverktyg från Microsoft. Schmitt och andra oroar sig för att USA blir mer sårbart för hackare och spioner om man förlitar sig på en enda leverantör för så mycket programvara och säkerhetsverktyg.
Demokraternas senator Ron Wyden gick ännu längre. Han skrev ett skarpt brev till den amerikanska myndigheten för cybersäkerhet och infrastruktursäkerhet (CISA), justitiedepartementet och Federal Trade Commission där han krävde att myndigheterna ”håller Microsoft ansvarigt för sina försumliga cybersäkerhetsrutiner”.
Wyden pekade på andra federala säkerhetsöverträdelser, däribland Solarwinds-hacket, som han menar har inträffat på grund av Microsofts slappa säkerhetsrutiner. Han har bett USA:s justitieminister Merrick Garland att undersöka ”om Microsofts försumliga metoder bröt mot federal lag” och uppmanat FTC-chefen Lina Khan att avgöra om Microsofts metoder för integritets- och datasäkerhet ”bryter mot federala lagar som verkställs av Federal Trade Commission, inklusive de som förbjuder orättvisa och vilseledande affärsmetoder”.
Är Microsoft skyldigt till försumlighet i allt detta? I nuläget går det inte att säga. Men en sak vet vi: på grund av dataintrången är det fri jakt på Microsoft i kongressen. Företaget bör nu se till att förbättra sina säkerhetsrutiner, annars kan miljarder dollar gå upp i rök.