Microsoft entlarvt russische Hacker, die es auf globale Organisationen abgesehen haben

Oscar

Microsoft hat kürzlich einen landesweiten Angriff auf seine Unternehmenssysteme durch staatlich geförderte russische Hacker bekannt gegeben. Es stellte sich heraus, dass der Windows-Hersteller nicht das einzige Ziel dieser Hacking-Kampagne war. Die gleiche Gruppe von Angreifern hat auch andere Organisationen ins Visier genommen.

Microsoft beleuchtet den jüngsten russischen Angriff genauer

Am 12. Januar entdeckte das Sicherheitsteam von Microsoft einen Verstoß in seinen Unternehmenssystemen und aktivierte sofort seinen Reaktionsprozess, um den Angriff einzudämmen. Eine interne Untersuchung ergab, dass die Hackergruppe Nobelium, die vermutlich für den russischen Auslandsgeheimdienst arbeitet, hinter dem Angriff steckt. Die Gruppe führte im Jahr 2020 auch den raffinierten SolarWinds-Angriff durch.

Microsoft bezeichnete die Angreifer als Midnight Blizzard – andere Branchennamen der Hacker sind Cozy Bear, APT29 und The Dukes. Nach Angaben des Unternehmens begann der Angriff Ende November letzten Jahres und war nicht das Ergebnis einer Schwachstelle in seinen Produkten oder Dienstleistungen. Stattdessen „nutzten die Angreifer einen Passwort-Spray-Angriff, um ein altes, nicht produktives Testmandantenkonto zu kompromittieren“, um auf seine Systeme zuzugreifen.

Bei diesem Angriff versuchen die Bedrohungsakteure, sich mit den beliebtesten oder wahrscheinlichsten Passwörtern bei Konten anzumelden. Für das kompromittierte Konto war die Multifaktor-Authentifizierung (MFA) nicht aktiviert, was den Hackern die Arbeit erleichterte. Midnight Blizzard setzte auch andere Techniken ein, um der Erkennung zu entgehen und Kontosperrungen zu vermeiden, darunter „das Starten dieser Angriffe von einer verteilten Proxy-Infrastruktur für Privathaushalte aus“.

Diese Techniken verschleierten ihre Aktivitäten und ermöglichten es ihnen, den Angriff bis zum Erfolg fortzusetzen. Durch den Verstoß wurden die Unternehmens-E-Mail-Konten „eines sehr kleinen Prozentsatzes“ der Microsoft-Mitarbeiter in verschiedenen internen Abteilungen, darunter Cybersicherheit und Rechtsabteilung, offengelegt. Der Technologieriese stellte fest, dass Midnight Blizzard zunächst E-Mail-Konten gezielt auf sich selbst gerichtete Informationen ausspionierte. Die Angreifer wollten offenbar herausfinden, was Microsoft über sie wusste.

Die Gruppe zielt auf weitere Organisationen ab

In einem neuen Blogbeitrag enthüllte Microsoft, dass Midnight Blizzard auch andere Organisationen ins Visier genommen hat, wahrscheinlich mit einer ähnlichen Absicht. Das Unternehmen nannte keine Namen der Organisationen, die möglicherweise von staatlich geförderten russischen Hackern angegriffen werden, sagte aber, es habe bereits damit begonnen, sie zu benachrichtigen. Es fügte hinzu, dass die Untersuchung noch andauere. Der Windows-Hersteller plant, bei Bedarf weitere Details mitzuteilen.

Unterdessen gab Hewlett Packard Enterprise (HPE) kürzlich bekannt, dass Midnight Blizzard unbefugten Zugriff auf seine cloudbasierte E-Mail-Umgebung erhalten hat, die von Microsoft gehostet wird. Dieser Angriff könnte Teil derselben Spionagekampagne der russischen Hacker sein. Zum jetzigen Zeitpunkt gibt es keinen Bericht darüber, dass diese Angriffe Kundendaten kompromittiert haben. Wir werden die Sache genau im Auge behalten und Sie informieren, sobald wir weitere Informationen haben.