USA und UK warnen vor Attacken auf Unter­nehmen weltweit

5. Juli 2021, 12:08
image

Eine Hackergruppe zielt auf Cloud-Services wie Office 365 ab, um Passwörter zu stehlen. Im Visier stehen Regierungen in den USA und Europa.

In einem gemeinsamen Statement warnen amerikanische und britische Behörden vor einer Cyber-Angriffskampagne. Der Advanced Threat Actor (APT) APT28, auch bekannt als Fancy Bear oder Strontium, verwende ein Kubernetes-Cluster für Brute-Force-Angriffe gegen hunderte von Zielen weltweit. Im Visier stehen demnach insbesondere Einrichtungen in den USA und Europa, darunter Energie- und Logistik-Firmen, Bildungs- und Regierungseinrichtungen sowie militärische Organisationen.
Die Warnung, die gemeinsam von der National Security Agency (NSA), der Cybersecurity and Infrastructure Security Agency (CISA), dem FBI und dem britischen National Cyber Security Centre (NCSC) veröffentlicht wurde, führt die Kampagne auf die APT-Gruppe zurück, die seit längerem verdächtigt wird, Verbindungen zum Generalstab des russischen Militärgeheimdienstes GRU zu haben.
Die laufenden Angriffe zielen auf Cloud-Dienste wie Office 365 ab, um Passwörter zu stehlen, heisst es in der Warnung (PDF). Aber auch andere Service-Provider und lokale E-Mail-Server würden angegriffen. Die Kampagne laufe seit mindestens Mitte 2019 und sei "mit ziemlicher Sicherheit noch im Gang", schreiben die Security-Behörden. 
Nach der Publikation der Warnung gab die russische Botschaft in Washington eine Erklärung auf Facebook heraus, in der sie die Vorwürfe "kategorisch" zurückwies: "Wir betonen, dass der Kampf gegen Cyberkriminalität eine inhärente Priorität für Russland und ein integraler Bestandteil seiner staatlichen Politik zur Bekämpfung aller Formen von Kriminalität ist."

Bekannte Schwachstellen werden ausgenutzt

Die Gruppe setzte Brute-Force-Angriffe ein, um gültige Anmeldedaten zu identifizieren. Mit diesen Zugangsdaten könnten sich die Angreifer dann weiter im Unternehmen bewegen, ihre Privilegien eskalieren und Daten sammeln, heisst es in der Publikation der Behörden.
Dabei würden sie auch bekannte Schwachstellen, wie die Lücken in Microsoft Exchange Server, ausnutzen, die eine remote Code-Ausführung ermöglichen.
Die Behörden schreiben weiter, dass der Kubernetes-Cluster, der für die Angriffe verwendet werde, Brute-Force-Authentifizierungsversuche über Tor und eine Reihe kommerzieller VPN-Dienste weiterleite, um seine Herkunft zu verschleiern.
Um die Gefahr abzumindern, raten die Behörden somit, den gesamten eingehenden Verkehr von bekannten Tor-Knoten und öffentlichen VPN-Diensten zu Exchange-Servern oder Portalen zu verweigern, die normalerweise nicht diese Art von Zugriff sehen. Ausserdem sollten IT-Verantwortliche die Verwendung von Multi-Faktor-Authentifizierung einführen beziehungsweise ausweiten. Als weitere Massnahmen empfehlen die Behörden Time-Out- und Lock-Out-Funktionen sowie Analysen, um anomale Zugriffe zu erkennen.  

Loading

Mehr zum Thema

image

Datenschützer äussern harsche Kritik an Cloud-Entscheiden von Behörden

Die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) fordert: Kein Freipass für Microsoft 365.

publiziert am 30.9.2022
image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 3
image

Vor 39 Jahren: Word 1.0 für MS-DOS erscheint

Im September 1983 brachte das Hause Redmond seine Textverarbeitungs-Software für das Microsoft Disk Operating System, kurz MS-DOS, auf den Markt.

publiziert am 30.9.2022
image

Palantir übernimmt 230-Millionen-Auftrag, um US-Drohnen effizienter zu machen

Der opake Datenanalyse-Konzern des rechtslibertären Milliardärs Peter Thiel gibt auch in Europa wieder zu Reden. CEO Alex Karp inszeniert sich als kritischer Geist.

publiziert am 30.9.2022