Russische Elitehacker haben Microsoft gehackt – mit weitreichenden Folgen

Microsoft hat am Freitag mit einem Blog-Beitrag über die Spätfolgen eines verheerenden russischen Hackerangriffs informiert. Die dem russischen Auslandsgeheimdienst zugerechneten Elitehacker waren Anfang 2024 in den internen Systemen von Microsoft entdeckt worden.

Nun informiert der amerikanische Softwarekonzern, der mit Windows das meistverbreitete PC-Betriebssystem der Welt anbietet, über die Auswirkungen.

Demnach haben Microsoft Sicherheits-Fachleute in den letzten Wochen "Beweise" gefunden, dass die russischen Hacker Daten nutzten, die sie "aus den Unternehmens-E-Mail-Systemen von Microsoft herausgefiltert" hatten.

Gemäss Blog-Beitrag konnten sich die Angreifer unbefugten Zugriff zu internen Microsoft-Systemen verschaffen. Und sie konnten offenbar auch auf Software-Repositorys zugreifen – das sind an sich gut geschützte Online-Plattformen, auf denen Programm-Quellcode gespeichert wird. "Bislang haben wir keine Beweise dafür gefunden, dass von Microsoft gehostete Kundensysteme kompromittiert wurden", schreibt das Unternehmen.

Fragt sich, was die Folgen des Eindringens sind.

Aus dem Blog-Beitrag geht nicht hervor, ob Quellcode exfiltriert, also gestohlen wurde. Die Hacker hätten aber die in gestohlenen Unternehmens-E-Mails gefundenen Informationen genutzt, um in die Systeme von Microsoft und seiner Kunden einzubrechen. Dabei hätten sie auch versucht, mittels "Password Spraying" Anmeldekennwörter zu erraten.

Es sei offensichtlich, dass die Hacker versuchten, die gefundenen "Geheimnisse" unterschiedlicher Art zu nutzen, heisst es im Blog-Beitrag. Richtig schlau wird man daraus nicht. Microsoft versichert, Betroffene informiert zu haben.

"Einige dieser Geheimnisse wurden zwischen Kunden und Microsoft per E-Mail weitergegeben, und da wir sie in unseren exfiltrierten E-Mails entdecken, haben wir diese Kunden kontaktiert, um sie bei der Ergreifung von Abhilfemassnahmen zu unterstützen." Obwohl Microsoft nicht genau erklärt habe, was die gestohlenen "Geheimnisse" beinhalten, handle es sich wahrscheinlich um "Authentifizierungstoken, API-Schlüssel oder Anmeldeinformationen", schreibt "Bleeping Computer".

Anzumerken bleibt, dass sich die Angreifer ursprünglich Zugriff verschaffen konnten, weil ein Microsoft-Testkonto nicht mittels Multi-Faktor-Authentifizierung geschützt war.

Wer sind die Angreifer?

Cozy Bear, von IT-Sicherheitsfirmen auch Midnight Blizzard, Nobelium oder APT29 genannt, ist eine vom russischen Staat geförderte Elitehackergruppe, die mit dem russischen Auslandsgeheimdienst (SVR) verbunden ist.

Ihre Mitglieder gelten als technisch versiert, sie entwickeln eigene massgeschneiderte Malware für Angriffe.

Cozy Bear sorgte 2020 mit der SolarWinds-Attacke weltweit für Schlagzeilen. Die Hacker kompromittierten die populäre IT-Verwaltungs-Software und schleusten ein Angriffs-Tool ("Sunburst") ein. So konnten sie ihre Malware als reguläres Update auf die Systeme der Opfer ausliefern.

Weil das bösartige Update digital signiert war und von einer vertrauenswürdigen Quelle stammte, konnten sich die Angreifer Zugang zu hochkarätigen Zielen verschaffen und sich quasi vor aller Augen verstecken. Solche Lieferketten-Angriffe sind gemäss ITFachleuten sehr schwer zu erkennen.

Insgesamt konnten die Angreifer 40 weitere Organisationen infiltrieren, die nicht einmal Kunden von SolarWinds waren. Die Folgen der Cyberattacke waren massiv. Auch Schwachstellen in Microsoft- und VMware-Software ermöglichten es den Angreifern, auf sensible Dokumente zuzugreifen.

Microsoft bestätigte später, dass der Hackerangriff ermöglichte, "Quellcode für eine begrenzte Anzahl von Azure-, Intune- und Exchange-Komponenten" zu stehlen.

Im Juni 2021 drang die russische Hackergruppe erneut in ein Microsoft-Unternehmenskonto ein und verschaffte sich Zugriff auf Kundensupport-Tools, wie "Bleeping Computer" nun in Erinnerung ruft. Seitdem sei Cozy Bear mit zahlreichen Cyberspionage-Angriffen gegen NATO- und EU-Länder in Verbindung gebracht worden.

Dieser Beitrag ist zuerst bei "Watson" erschienen. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.