Kinesiske hackere var i Microsoft 365 i 18 måneder uden at blive opdaget

I omkring halvandet år læste en gruppe statsforbundne kinesiske hackere virksomhedsmail, åbnede interne filer og bevægede sig gennem firmanetværk, mens de for ethvert overvågningsværktøj lignede helt almindelige medarbejdere, der logger ind for at arbejde. Indbruddet, som sikkerhedsfirmaet Volexity har kortlagt, knækkede ikke Microsoft 365. Det udgav sig for at være dem, der allerede havde nøglerne.

Den skelnen er hele historien, og den forklarer, hvorfor bruddet angår alle, hvis arbejde foregår inde i en skykonto. Microsoft 365 er i dag stedet, hvor de fleste virksomheder gemmer deres post, deres dokumenter og det single sign-on, der låser op for alt andet. Angriberne behøvede aldrig at besejre det system. De lånte et gyldigt login og kom ind ad hoveddøren, og forsvaret, der var bygget til at spørge “er det virkelig dig?”, besluttede, at det var.

Gruppen følges som UNC5221, også kendt som VerdantBamboo, en operation med kinesisk ophav, som forskere har holdt øje med i årevis, fordi den går efter enhederne i udkanten af firmanetværkene. Den seneste kampagne ramte advokatfirmaer, softwarevirksomheder, udbydere af procesoutsourcing og teknologileverandører. Det er ikke tilfældige mål: det er organisationer, der opbevarer andre organisationers hemmeligheder, fra klientsager til kildekode og de nøgler, der rækker videre til kunderne.

Værktøjskassen forklarer, hvorfor adgangen forblev usynlig så længe. Kernen er en bagdør ved navn Brickstorm, først skrevet i sproget Go og senere bygget om i Rust, plantet på netværksenheder, der sjældent kører sikkerhedssoftware og næsten aldrig bliver efterset. I ét tilfælde kom angriberne ind via et Egnyte-filsynkroniseringssystem, der var tilgængeligt over virksomhedens VPN. Fra det stille fodfæste lod Brickstorms indbyggede proxyfunktion dem lede deres aktivitet gennem offerets eget netværk, så forbindelsen så lokal og legitim ud, da de nåede Microsoft 365 med stjålne loginoplysninger. Volexity vurderer med høj sikkerhed, at det var bevidst, en måde at smelte sammen med den normale trafik og slippe forbi reglerne for betinget adgang, der ellers ville have markeret et login fra det forkerte sted. To dele mere holdt døren åben: en .NET-bagdør, som forskerne døbte Plenet, og som gav operatørerne en interaktiv konsol og filkontrol, og en omvendt Python-shell ved navn AgentPSD, holdt i reserve. Overflødigheden var hele pointen. Det var bygget til at overleve opdagelse, ikke til at undgå den for evigt.

Den mest ubehagelige detalje er regnestykket om tid. Opdagelsen kom omkring atten måneder efter, at indtrængerne først kom ind. I kampagner af den slags har efterforskere målt en gennemsnitlig opholdstid på langt over et år, længe nok til, at logfilerne over det oprindelige indbrud i mange tilfælde allerede var slettet af rutinemæssige opbevaringsregler, før nogen vidste, at der var grund til at kigge. Angriberne gemte sig ikke bare. De overlevede beviserne.

Rækkevidden nåede ud over det første offer. I mindst ét tilfælde kompromitterede gruppen en udbyder af administrerede tjenester, det eksterne it-firma, der driver teknologien for snesevis af mindre kunder, og plantede en version af Brickstorm i dens firewall. Et enkelt indbrud dér bliver en hovednøgle til hver eneste kunde bag den. Det er den del af historien, der rejser ud over USA, hvor de fleste kendte mål befinder sig. Enhver virksomhed, der outsourcer sin it, hvilket vil sige næsten alle, arver sikkerheden hos en udbyder, den ikke kan se ind i.

Intet af dette er en fejl i Microsoft 365, som en rettelse vil lukke. Indgangene var enheder fra tredjepart og stjålne loginoplysninger, og skyen opførte sig præcis som tiltænkt, så snart et betroet login dukkede op. Det er det svære problem, som afsløringen lader stå åbent. Organisationer uden detektionssoftware på deres servere og enheder havde næsten ingen chance for at se aktiviteten, og selv de, der havde den, stod over for en operation, der var lavet til at ligne hverdag. Fordi det var spionage og ikke ransomware, var der ingen låst skærm og ingen afpresningsseddel til at fremtvinge alarmen, kun data, der stille forlod nettet, så længe operatørerne ville blive ved med at kigge med.

Indbruddene kom frem omkring marts 2025, og advarslerne er blevet flere siden. Mellem august 2025 og januar 2026 udsendte FBI, NSA og den amerikanske cybersikkerhedsmyndighed CISA en række advarsler om indbrud med kinesisk statslig opbakning, og CISA har separat advaret om, at Brickstorm går efter VMware-servere. Efterforskernes praktiske råd er snævert og lidet glamourøst: gem logfilerne længere, end angriberne kan gemme sig, og sæt detektion på de stille enheder i udkanten af netværket, netop dér, hvor spøgelserne, viser det sig, helst holder til.

Tags: cybersikkerhed