Microsoft bestätigt russischen Hacker-Angriff
Microsoft hat bestätigt, dass der vom Kreml unterstützte Bedrohungsakteur Midnight Blizzard (auch bekannt als APT29 oder Cozy Bear) Zugriff auf einige seiner Quellcode-Repositories und interne Systeme erlangt hat. Der entsprechende Hack wurde im Januar 2024 entdeckt. Neben Quellcode wurden auch Kundendaten gestohlen.
Das Unternehmen Microsoft berichtet, dass in den letzten Wochen Hinweise aufgetaucht sind, wonach die Midnight-Blizzard-Gruppe versucht, die geheimen Informationen, sie bei ihrem Angriff aus den E-Mail-Systemen des Unternehmens extrahiert hat, für unbefugten Zugang beziehungsweise entsprechende Versuche zu missbrauchen.
Die Angriffe erstreckten sich auch auf einige der Quellcode-Speicher und interne Systeme von Microsoft. Es gebe bislang allerdings keine Anzeichen dafür, dass die Kundensysteme des Unternehmens betroffen sind. Während Microsoft das volle Ausmaß des Vorfalls noch untersucht, wird berichtet, dass die russische Gruppe bereits versucht, die ergatterten geheimen Infos zu verwerten – insbesondere die, die aus der E-Mail-Kommunikation zwischen Microsoft und dessen Kunden gezogen wurden.
Das Unternehmen hat jedoch nicht bekannt gegeben, um welche Art von Geheimnissen es sich handelt. Auch zum vollen Ausmaß der Kompromittierung schweigt es. Betroffene Kunden sollen direkt kontaktiert worden sein. Auf welche Quellcodes zugegriffen wurde, weiß Microsoft entweder selbst nicht genau, oder – eher wahrscheinlich – will es nicht sagen.
Indes zeigt sich der Software-Riese äußerst besorgt. Er weist darauf hin, dass der Angreifer im Februar seine Passwort-Spray-Angriffe im Vergleich zum bereits hohen Volumen im Januar um das Zehnfache gesteigert hat. „Der anhaltende Angriff von Midnight Blizzard ist durch einen kontinuierlichen, erheblichen Einsatz von Ressourcen, Koordination und Fokus seitens des Bedrohungsakteurs gekennzeichnet“, so das Unternehmen. Und weiter: „Es besteht die Möglichkeit, dass der Akteur die erlangten Informationen nutzt, um ein besseres Verständnis für die Ziele seiner Angriffe zu entwickeln und seine Fähigkeit zu verbessern, diese anzugreifen. Dies spiegelt eine nie zuvor dagewesene globale Bedrohungslage wider – insbesondere in Bezug auf ausgefeilte Angriffe von Nationalstaaten.“ Microsoft betont, dass es seine Sicherheitsvorkehrungen verstärkt hat.
Der Microsoft-Einbruch soll im November 2023 stattgefunden haben. Dabei nutzte Midnight Blizzard einen Passwort-Spray-Angriff, um in ein altes, nicht produktives Test-Mieterkonto einzudringen, das keine Multi-Faktor-Authentifizierung (MFA) aktiviert hatte.
Ende Januar gab der Tech-Gigant bekannt, dass auch andere Unternehmen ins Visier genommen wurden. APT29 soll dabei verschiedene Methoden genutzt haben, um Zugang zu erlangen, von gestohlenen Zugangsdaten bis hin zu Angriffen auf die Lieferkette.
Midnight Blizzard wird dem russischen Auslandsgeheimdienst (SVR) zugeordnet. Die Gruppe ist seit mindestens 2008 aktiv und zählt zu den produktivsten und raffiniertesten bekannten Hackergruppen. Sie hat bereits hochrangige Ziele wie SolarWinds erfolgreich attackiert.
Amit Yoran, CEO von Tenable, sagte in einer Erklärung: „Das Eindringen von Midnight Blizzard in Microsoft ist ein großer Schlag. Midnight Blizzard ist keine gewöhnliche Verbrecherbande. Es handelt sich vielmehr um eine äußerst professionelle, von Russland unterstützte Organisation, die genau weiß, wie wertvoll die Daten sind, die sie erbeutet hat, und wie sie diese am effektivsten nutzen kann, um maximalen Schaden anzurichten.“
An die Adresse von Microsoft richtet Yoran schwere Vorwürfe: „Angesichts der weiten Verbreitung von Microsoft ist ein viel höheres Maß an Verantwortlichkeit und Transparenz erforderlich, als das Unternehmen bisher gezeigt hat. Selbst jetzt gibt es nicht alle Details preis – zum Beispiel wissen wir immer noch nicht, welcher Quellcode kompromittiert wurde. Diese Sicherheitsverletzungen stehen nicht isoliert da, und die fragwürdigen Sicherheitspraktiken und unklaren Aussagen von Microsoft sollen absichtlich die ganze Wahrheit verschleiern.“