Midnight Blizzard: Hacker bohren noch immer in Microsofts Systemen herum
Einen Cyberangriff mit Datenabfluss aus internen E-Mail-Postfächern hatte Microsoft schon im Januar bestätigt. Nun zeigt sich, dass die Angreifer dadurch gewonnene Informationen nutzen, um das Unternehmen weiter zu attackieren. Dabei stehen nicht nur weitere interne Systeme des Konzerns im Fokus, sondern auch dessen Quellcode.
Angreifer verschaffen sich durch E-Mail-Daten weitere Zugriffe
Den ursprünglichen Angriff hatte Microsoft am 12. Januar entdeckt und ihn rund eine Woche später öffentlich kommuniziert. Die mutmaßlich vom russischen Staat unterstützte Hackergruppe Midnight Blizzard, auch bekannt als Nobelium, Cozy Bear oder APT29, hatte durch eine Password-Spraying-Attacke ein Test-Tenant-Konto des Konzerns infiltriert und sich darüber Zugang zu E-Mail-Postfächern einiger Führungskräfte und Mitarbeiter von Microsoft verschafft.
Die dabei erbeuteten Informationen scheinen die Hacker seitdem gezielt einzusetzen, um in weitere Systeme einzudringen. In einem neuen Blogbeitrag erklärt Microsoft, Midnight Blizzard habe die Daten aus den E-Mail-Systemen in den vergangenen Wochen verwendet, „um sich unbefugten Zugang zu verschaffen“ oder dies zumindest zu versuchen. Der Konzern bestätigt entsprechende Zugriffe auf einige seiner Quellcode-Repositories und internen Systeme.
Hinweise darauf, dass von Microsoft gehostete Kundensysteme kompromittiert worden seien, gebe es bisher nicht. Dennoch warnt der Konzern, die Hackergruppe habe für ihre Angriffe auch zwischen Microsoft und seinen Kunden ausgetauschte Geheimnisse genutzt. Betroffene Kunden unterstütze der Konzern aktiv bei der Umsetzung von Abwehrmaßnahmen.
Midnight Blizzard weitet Angriffe aus
Auch das Angriffsvolumen haben die Angreifer nach Microsofts Angaben erhöht. Im Februar sei etwa die Menge der Password-Spray-Attacken um das Zehnfache angestiegen. „Der laufende Angriff von Midnight Blizzard zeichnet sich durch einen andauernden und beträchtlichen Einsatz von Ressourcen, Koordination und Konzentration des Bedrohungsakteurs aus“, erklärt Microsoft. Die Hackergruppe setze die gewonnenen Informationen möglicherweise ein, um sich ein Bild von den anzugreifenden Bereichen zu machen und ihre Angriffsfähigkeiten zu verbessern.
Microsoft arbeitet an seiner Selbstverteidigung
Der Konzern betont, er habe seine Investitionen in den Security-Bereich und die unternehmensübergreifende Koordination erhöht. Außerdem habe er seine Fähigkeiten ausgebaut, sich „selbst zu verteidigen“ und seine Umgebung gegen die anhaltende Bedrohung durch Midnight Blizzard abzusichern. Microsoft habe verbesserte Sicherheitskontrollen sowie Erkennungs- und Überwachungssysteme eingeführt und werde noch weitere folgen lassen.
Dennoch gesteht Microsoft in einer Mitteilung an die US-Börsenaufsichtsbehörde SEC, die Untersuchungen der Aktivitäten von Midnight Blizzard seien noch nicht abgeschlossen und es könne noch „zu weiteren unbefugten Zugriffen kommen“. Wesentliche Auswirkungen auf seine Geschäftstätigkeit erwarte das Unternehmens aber nach aktuellen Erkenntnissen nicht. Ferner habe der Konzern noch nicht festgestellt, dass der Vorfall mit hinreichender Wahrscheinlichkeit wesentliche Auswirkungen auf seine Finanzlage oder das Betriebsergebnis haben werde.