Microsoft bekommt die russische Hackergruppe Midnight Blizzard, die sich im November
Zugang zu einigen E-Mails ranghoher Manager des Konzerns verschaffen hat, nicht aus seinen Systemen. Die Angreifer hätten in den vergangenen Wochen unter anderem auf Sammlungen von Software-Quellcodes zugegriffen, teilte das Unternehmen in einem
Blogbeitrag mit.
Es sei nicht auszuschliessen, dass die Hacker sich auch in Zukunft unerlaubt Zugang zu den Systemen verschaffen würden. Zudem versuchten die Angreifer, die in den E-Mails erbeuteten Informationen für ihre Zwecke einzusetzen, sagte Microsoft, ohne dabei nähere Details zu nennen.
Der Konzern hatte die Öffentlichkeit bereits im Januar informiert, dass Hacker mit Verbindungen zur russischen Regierung auf einige E-Mails ranghoher Manager sowie von Mitarbeitern aus den Bereichen Cybersicherheit zugreifen konnten. Dabei hätten die Hacker auch einige Dokumente aus E-Mail-Anhängen heruntergeladen.
Der Konzern machte bisher keine Angaben dazu, wer genau von der Konzernführung betroffen ist. Zu Beginn hiess es auch noch, es gebe keine Hinweise darauf, dass sich die Angreifer Zugang zum Quellcode der Software verschafft hätten. Das stellt sich nun als falsch heraus.
Passwort geknackt
Die Hacker gelangten laut Microsoft ins E-Mail-System, nachdem sie das
Passwort eines internen Test-Accounts geknackt hatten, für den keine Mehrfaktor-Authentifizierung (MFA) aktiviert war. Der Angriff wird der vom russischen Staat gesponserten Gruppierung Midnight Blizzard zugeordnet, die auch unter den Namen APT29, Cozy Bear und vormals als Nobilium bekannt ist.
Die Angreifer steckten viele Ressourcen in die fortlaufende Attacke, schrieb Microsoft in seinem Blogeintrag. In einer Stellungnahme bei der Börsenaufsicht SEC hiess es zugleich, der Konzern gehe nicht davon aus, dass die Attacke erhebliche Folgen für seine finanzielle Lage haben werde. Microsoft habe die Investitionen in die Sicherheit erhöht und arbeite eng mit Ermittlungsbehörden zusammen.
Mehr Brute-Force-Attacken
Nach eigenen Angaben hat der Konzern damit begonnen, vom Cybervorfall betroffene Kunden zu kontaktieren. "Es ist offensichtlich, dass Midnight Blizzard versucht, Geheimnisse aus E-Mails zwischen Kunden und Microsoft zu verwenden." Zudem berichtet das Unternehmen, dass Midnight Blizzard auch mehr Passwort-Spray-Angriffe auf die Zielsysteme ausführt. Im Vergleich zum Januar 2024 hat sich die Zahl dieser Angriffe im Februar mehr als verzehnfacht.
Bei einem Passwort-Spray-Angriff handelt es sich um eine Art Brute-Force-Attacke, bei der die Bedrohungsakteure eine Liste mit potenziellen Anmeldenamen sammeln und dann versuchen, sich mit einer Liste möglicher Passwörter anzumelden. Wenn ein Passwort nicht funktioniert, wiederholen sie diesen Vorgang mit anderen Passwörtern, bis sie keine mehr haben oder das Konto erfolgreich knacken konnten.