So SolarWinds Hacker setzen Angriff mit einer neuen
Microsoft-Verletzung fort
Es ist noch nicht bekannt, wie lange der
Computer des Agenten kompromittiert wurde und ob der Angriff einen von
Microsoft verwalteten Computer in einem Unternehmensnetzwerk getroffen
hat.
Fotograf: Bronte Wittpenn/Bloomberg/Getty Images
Die Nationalstaat-Hacker Wer den SolarWinds Supply Chain Angriff
orchestriert kompromittiert einen Computer eines Microsoft-Mitarbeiters
und nutzte den Zugriff, um gezielte Angriffe auf Firmenkunden zu
starten, sagte Microsoft in einer knappen Erklärung am späten
Freitagnachmittag veröffentlicht.
Ars Technica
Diese Geschichte erschien ursprünglich auf Ars Technica, einer
vertrauenswürdigen Quelle für Technologienachrichten,
Technologie-Policy-Analysen, Bewertungen und mehr. Ars gehört der
WIRED-Muttergesellschaft Condé Nast.
Die Hackergruppe kompromittierte auch drei Entitäten mit Passwort-Sprüh-
und Brute-Force-Techniken, die unberechtigten Zugriff auf Konten
erlangen, indem sie Login-Server mit einer großen Anzahl von
Login-Vermutungen bombardieren. Mit Ausnahme der drei nicht genannten
Entitäten, so Microsoft, sei die Passwort-Sprühkampagne "meist
erfolglos" gewesen. Microsoft hat seitdem alle Ziele benachrichtigt,
unabhängig davon, ob Angriffe erfolgreich waren oder nicht.
Die Entdeckungen kamen in Microsofts fortgesetzte Untersuchung von
Nobelium, Microsofts Name für die ausgeklügelte Hackergruppe, die
SolarWinds Software-Updates und andere Mittel verwendet, um Netzwerke
von neun US-Agenturen und 100 privaten Unternehmen zu kompromittieren.
Die Bundesregierung hat erklärt, Nobelium sei Teil des föderalen
Sicherheitsdienstes der russischen Regierung.
"Im Rahmen unserer Untersuchung dieser laufenden Aktivität haben wir
auch Informationen stehlende Malware auf einem Computer entdeckt, der zu
einem unserer Kundendienstmitarbeiter gehört und Zugang zu grundlegenden
Kontoinformationen für eine kleine Anzahl unserer Kunden hat", so
Microsoft in einem Beitrag. "Der Schauspieler nutzte diese Informationen
in einigen Fällen, um im Rahmen seiner breiteren Kampagne gezielt
Angriffe zu starten."
Laut Reuters veröffentlichte Microsoft die Offenlegung der Verletzung,
nachdem einer der Reporter der Nachrichtenagentur das Unternehmen nach
der Benachrichtigung gefragt hatte, die es an zielgerichtete oder
gehackte Kunden schickte. Microsoft hat die Infektion des Computers der
Arbeitskraft erst im vierten Absatz des Fünfabsatzbeitrags offengelegt.
Der infizierte Agent, sagte Reuters, könnte auf
Rechnungskontaktinformationen und die Dienste zugreifen, für die die
Kunden unter anderem bezahlt haben. "Microsoft hat betroffene Kunden
gewarnt, bei der Kommunikation mit ihren Abrechnungskontakten vorsichtig
zu sein und zu erwägen, diese Benutzernamen und E-Mail-Adressen zu
ändern und alte Benutzernamen daran zu hindern, sich anzumelden",
berichtete der Nachrichtendienst.
Der Angriff auf SolarWinds in der Lieferkette kam im Dezember ans Licht.
Nachdem Nobelium das Unternehmen mit Sitz in Austin, Texas, gehackt und
die Kontrolle über sein Software-Build-System übernahm, schob Nobelium
schädliche Updates an rund 18.000 SolarWinds-Kunden.
"Die jüngste Cyberattacke, über die Microsoft berichtet, betrifft weder
unser Unternehmen noch unsere Kunden in irgendeiner Weise", sagte ein
SolarWinds-Vertreter in einer E-Mail.
Der Angriff auf die SolarWinds-Lieferkette war nicht die einzige Art und
Weise, wie Nobelium seine Ziele kompromittierte. Anti-Malware-Anbieter
Malwarebytes hat gesagt, es wurde auch von Nobelium infiziert, aber
durch einen anderen Vektor, die das Unternehmen nicht identifiziert.
Sowohl Microsoft als auch der E-Mail-Management-Anbieter Mimecast haben
ebenfalls erklärt, dass auch sie von Nobelium gehackt wurden, das dann
die Kompromisse nutzten, um die Kunden oder Partner der Unternehmen zu
hacken.
Microsoft sagte, dass die Passwort-Sprühaktivität auf bestimmte Kunden
abzielte, von denen 57 Prozent IT-Unternehmen, 20 Prozent
Regierungsorganisationen und die übrigen Nichtregierungsorganisationen,
Think Tanks und Finanzdienstleistungen waren. Etwa 45 Prozent der
Aktivitäten konzentrierten sich auf US-Interessen, 10 Prozent richteten
sich an kundenorientierte Kunden aus Großbritannien und kleinere Waren
betrafen Deutschland und Kanada. Insgesamt wurden Kunden in 36 Ländern
ins Visier genommen.
Reuters sagte unter Berufung auf einen Microsoft-Sprecher, dass die am
Freitag aufgedeckte Verletzung nicht Teil des vorherigen erfolgreichen
Angriffs von Nobelium auf Microsoft war. Das Unternehmen hat noch keine
wichtigen Details zur Verfügung gestellt, einschließlich der Dauer der
Kompromittierten des Agentencomputers und ob der Kompromiss einen von
Microsoft verwalteten Computer in einem Microsoft-Netzwerk oder ein
Auftragnehmergerät in einem Heimnetzwerk getroffen hat.
Die Enthüllung vom Freitag war für viele Sicherheitsanalysten ein
Schock.
"Ich meine, Jesus, wenn Microsoft sein eigenes Kit nicht von Viren
fernhalten kann, wie soll dann der Rest der Unternehmenswelt?"
Kenn White, ein unabhängiger Sicherheitsforscher, erzählte mir.
"Sie hätten gedacht, dass kundenorientierte Systeme zu den am stärksten
verhärteten Systemen werden."
https://www.wired.com/story/solarwinds-hackers-continue-assault-new-microsoft-breach/
SolarWinds Hacker setzen Angriff mit einem neuen Microsoft Breach |
Wired