Microsoft hat am Freitag mit einem Blog-Beitrag über die Spätfolgen eines verheerenden russischen Hackerangriffs informiert. Die dem russischen Auslandsgeheimdienst zugerechneten Elitehacker waren Anfang 2024 in den internen Systemen von Microsoft entdeckt worden.
Nun informiert der amerikanische Softwarekonzern, der mit Windows das meistverbreitete PC-Betriebssystem der Welt anbietet, über die Auswirkungen.
Demnach haben Microsoft Sicherheits-Fachleute in den letzten Wochen «Beweise» gefunden, dass die russischen Hacker Daten nutzten, die sie «aus den Unternehmens-E-Mail-Systemen von Microsoft herausgefiltert» hatten.
Gemäss Blog-Beitrag konnten sich die Angreifer unbefugten Zugriff zu internen Microsoft-Systemen verschaffen. Und sie konnten offenbar auch auf Software-Repositorys zugreifen – das sind an sich gut geschützte Online-Plattformen, auf denen Programm-Quellcode gespeichert wird.
Fragt sich, was die Folgen des Eindringens sind.
Aus dem Blog-Beitrag geht nicht hervor, ob Quellcode exfiltriert, also gestohlen wurde. Die Hacker hätten aber die in gestohlenen Unternehmens-E-Mails gefundenen Informationen genutzt, um in die Systeme von Microsoft und seiner Kunden einzubrechen. Dabei hätten sie auch versucht, mittels «Password Spraying» Anmeldekennwörter zu erraten.
Es sei offensichtlich, dass die Hacker versuchten, die gefundenen «Geheimnisse» unterschiedlicher Art zu nutzen, heisst es im Blog-Beitrag. Richtig schlau wird man daraus nicht. Microsoft versichert, Betroffene informiert zu haben.
Obwohl Microsoft nicht genau erklärt habe, was die gestohlenen «Geheimnisse» beinhalten, handle es sich wahrscheinlich um «Authentifizierungstoken, API-Schlüssel oder Anmeldeinformationen», schreibt Bleeping Computer.
Anzumerken bleibt, dass sich die Angreifer ursprünglich Zugriff verschaffen konnten, weil ein Microsoft-Testkonto nicht mittels Multi-Faktor-Authentifizierung geschützt war.
Cozy Bear, von IT-Sicherheitsfirmen auch Midnight Blizzard, Nobelium oder APT29 genannt, ist eine vom russischen Staat geförderte Elitehackergruppe, die mit dem russischen Auslandsgeheimdienst (SVR) verbunden ist.
Ihre Mitglieder gelten als technisch versiert, sie entwickeln eigene massgeschneiderte Malware für Angriffe.
Cozy Bear sorgte 2020 mit der SolarWinds-Attacke weltweit für Schlagzeilen. Die Hacker kompromittierten die populäre IT-Verwaltungs-Software und schleusten ein Angriffs-Tool («Sunburst») ein. So konnten sie ihre Malware als reguläres Update auf die Systeme der Opfer ausliefern.
Weil das bösartige Update digital signiert war und von einer vertrauenswürdigen Quelle stammte, konnten sich die Angreifer Zugang zu hochkarätigen Zielen verschaffen und sich quasi vor aller Augen verstecken. Solche Lieferketten-Angriffe sind gemäss ITFachleuten sehr schwer zu erkennen.
Insgesamt konnten die Angreifer 40 weitere Organisationen infiltrieren, die nicht einmal Kunden von SolarWinds waren. Die Folgen der Cyberattacke waren massiv. Auch Schwachstellen in Microsoft- und VMware-Software ermöglichten es den Angreifern, auf sensible Dokumente zuzugreifen.
Microsoft bestätigte später, dass der Hackerangriff ermöglichte, «Quellcode für eine begrenzte Anzahl von Azure-, Intune- und Exchange-Komponenten» zu stehlen.
Im Juni 2021 drang die russische Hackergruppe erneut in ein Microsoft-Unternehmenskonto ein und verschaffte sich Zugriff auf Kundensupport-Tools, wie Bleeping Computer nun in Erinnerung ruft. Seitdem sei Cozy Bear mit zahlreichen Cyberspionage-Angriffen gegen NATO- und EU-Länder in Verbindung gebracht worden.
Und der Westen diskutiert. Und SVPler, ja diese Putinisten, die haben Verständnis für die Terror-Russen. Ekelhaft.
Russland ist ein Mafiastaat.