Microsoft hat ein riesiges Problem: in ihren Systemen haben sich chinesische Hacker breitgemacht. Aber auch russische Angreifer hatten mehr Zugang als bisher angenommen. Und Microsoft scheitert seit Monaten daran, die Hacker aus den Systemen zu entfernen. Damit wird Microsofts Problem zu einem für jeden einzelnen Nutzer.
Die wahren Ausmaße des Angriffs aus China versuchte Microsoft totzuschweigen. Dabei konnten die als Storm-0558 bezeichneten Angreifer mit einem Schlüssel in das Allerheiligste vordringen: in die Microsoft-Cloud, wo etwa Outlook-, Office 365, Onedrive- oder Teams-Daten liegen, um von den Nutzern überall und jederzeit aufgerufen werden zu können. Wochenlang konnten die Angreifer dort ihr Unwesen treiben. Microsoft ist es nicht aufgefallen und auch jetzt ist noch unklar, was sie dort gemacht haben. Daten manipuliert? Hintertüren platziert, um jederzeit wieder Zugang zu bekommen? Man weiß es nicht und Microsoft übrigens auch nicht. Und das nachdem der Angriff im Juli 2023 publik wurde.
Wie war das möglich? Nicht nur, dass sich Microsoft den Schlüssel stehlen ließ, offenbar war er auch unzureichend gesichert und dabei auch noch eine Art Zentralschlüssel. Denn eigentlich hätte der Schlüssel aus dem Endkundenbereich gar nicht erst Unternehmensanwendungen öffnen dürfen. Doch nicht nur Storm-0558 treibt in Microsoft-Systemen sein Unwesen. Auch russische Hacker haben sich offenbar eingenistet.
„Midnight-Blizzard“, früher als Nobelium aktiv, greifen seit Wochen erfolgreich Microsoft an. Um zu beweisen, wie weit sie vorgedrungen sind, drohen sie nun mit der Veröffentlichung sensibler Daten von Führungskräften. Diese Informationen will die Hackergruppe nutzen, um den Quellcode und andere Systeme zu kompromittieren, sagt der Unternehmensriese. Eine Attacke, die im November 2023 begann und seitdem nicht endete. Die unbefugten Zugriffe konnten seitdem nicht unterbunden werden. Im Februar intensivierten die Hacker ihre Angriffe um das Zehnfache, wie Microsoft bekanntgab.
Keine Beweise
Im Februar verzehnfachten die Hacker das Volumen der versuchten Passwort-Spray-Angriffe, eine Technik, bei der Eindringlinge versuchen, mehrere Passwörter für bestimmte Benutzernamen zu verwenden, um in hochwertige Konten einzudringen, so Microsoft. Die Gruppe versucht auch, Geheimnisse zu nutzen, die zwischen Microsoft und seinen Kunden in E-Mails ausgetauscht werden, heißt es in dem Blog-Post. „Bis heute haben wir keine Beweise dafür gefunden, dass von Microsoft gehostete Kundensysteme kompromittiert wurden. Es gibt aber offenbar auch keine dafür, dass diese nicht erfolgreich angegriffen wurden.
Seit knapp einem halben Jahr treiben staatlich motivierte Angreifer ihr Unwesen in Microsofts Systemen. Das Unternehmen arbeitet zwar mit den Behörden zusammen. Die Nutzer werden über die Ereignisse ziemlich im Dunkeln gelassen und das obwohl des großen Nutzeranteils. Zur besseren Vorstellung: Im Jänner 2024 erzielte Microsofts Betriebssystem Windows einen Marktanteil von den weltweiten Page Views von knapp 73 Prozent.
Die Hacker, die von Microsoft als „Midnight Blizzard“ bezeichnet werden, „könnten die erlangten Informationen nutzen, um sich ein Bild von den Angriffsbereichen zu machen und ihre Fähigkeit, diese anzugreifen, zu verbessern“, so Microsoft. Die Hacker wurden zuvor dabei erwischt, wie sie sich Zugang zu E-Mails verschafften, die zu hochrangigen Führungskräften gehörten, darunter auch zu Führungskräften aus den Bereichen Cybersicherheit und Recht.
Russische Hacker legten SolarWinds 2021 lahm
Bei den mutmaßlichen russischen Hackern, die von Branchenexperten auch als Cozy Bear und APT29 bezeichnet werden, handelt es sich um dieselbe Gruppe, die von den USA und Großbritannien im Jahr 2021 für den Cyberangriff auf die SolarWinds Corp. verantwortlich gemacht wurde, bei dem bösartiger Code in ein Software-Update eingefügt wurde, der den Eindringlingen weiteren Zugang zu Kunden ermöglichte.Insgesamt wurden etwa 100 Unternehmen und neun Bundesbehörden für weitere Angriffe ins Visier genommen.
Im Februar warnten die USA, das Vereinigte Königreich und andere Verbündete, dass dieselbe Gruppe, bei der es sich ihren Angaben zufolge um Hacker des russischen Auslandsgeheimdienstes SVR handelt, Wege gefunden hat, auf Cloud-Umgebungen zuzugreifen, um die Luftfahrt, das Bildungswesen, die Strafverfolgungsbehörden, lokale und staatliche Behörden, staatliche Finanzabteilungen und militärische Organisationen ins Visier zu nehmen. (stein)