Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen

Sicherheit (Pexels, allgemeine Nutzung)[English]Microsoft musste nun bestätigen, dass russischen Cyberspione der Gruppe Midnight Blizzard im Januar 2024 nicht nur Zugriff auf die E-Mail-Konten des Microsoft Managements hatten. Die Angreifer waren zusätzlich in der Lage, sich Zugriff auf interne Systeme zu verschaffen und auf Quellcodes von Produkten zuzugreifen. Microsoft liegen Hinweise vor, dass im Anschluss an den Januar 2024-Hack weitere Zugriffe erfolgten, bei dem auch auf Quellcode zugegriffen wurde.


Anzeige

Der Midnight Blizzard-Hack (Jan 2024)

Am 12. Januar 2024 fiel dem  Microsoft-Sicherheitsteam ein Angriff auf seine Unternehmens-IT auf. Zum 19. Januar 2024 hatte Microsoft das in einer kurzen sec.go-Mitteilung angesprochen (Beitrag inzwischen gelöscht) sowie im Beitrag Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard öffentlich gemacht. Die Kurzform:

  • Am 12. Januar 2024 wurde vom Microsoft-Sicherheitsteam  ein staatlicher Angriff auf die eigenen Unternehmenssysteme bemerkt.
  • Microsoft bezeichnet die Angreifer als Midnight Blizzard oder Nobelium oder Cozy Bear, eine russische, staatlich geförderte Hackergruppe, die vermutlich dem russischen Auslandsgeheimdienst (SVR) angehört.
  • Den Angreifern gelangt Ende November 2023 durch einen Passwort-Spray-Angriff der Zugriff auf ein nicht produktives Test-Tenant-Konto.
  • Über dieses Konto konnten die Angreifer die Berechtigungen ausweiten und auf auf E-Mail-Konten, die bei Microsoft gehostet sind, zugreifen.

Damit stand den Angreifern wohl der Zugang zu beliebigen E-Mail-Konten von Microsoft offen. Es hieß zwar in der Mitteilung von Januar 2024, dass der Angreifer mit den erlangten Berechtigungen des Kontos nur "auf einen sehr kleinen Prozentsatz von Microsoft-Unternehmens-E-Mail-Konten" zugegriffen habe. Darunter waren aber die E-Mail-Konten des Microsoft Managements. Natürlich hat Microsoft "sofort reagiert und den Angriff gestoppt".

Ich hatte die Details im Blog-Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert aufbereitet und bereits meine Sicht der Dinge dargelegt. Da wurde nicht alles kommentiert und Tage später wurde dann der HPE-Hack bekannt (Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt). Da musste noch mehr kommen.

Neue Zugriffe und Quellcodes abgezogen

In einem aktualisierten Bericht an die US-Börsenaufsichtsbehörde SEC und in einem Artikel Update on Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard hat Microsoft zum 8. März 2024 weitere Einzelheiten über den Sicherheitsverstoß bekannt gegeben. Hier die Kernaussagen:


Anzeige

  • In den letzten Wochen habt Microsoft Beweise dafür gefunden, dass Midnight Blizzard Informationen, die ursprünglich aus den E-Mail-Systemen des Unternehmens exfiltriert wurden, verwendet, um sich unbefugten Zugang zu verschaffen oder dies zu versuchen.
  • Dazu gehörte auch der Zugriff auf einige der Quellcode-Repositories und internen Systeme des Unternehmens.
  • Bislang haben wir keine Hinweise darauf gefunden, dass von Microsoft gehostete Kundensysteme kompromittiert worden sind.

Microsoft spricht in der Mitteilung von einem laufenden Angriff von Midnight Blizzard, der sich durch einen anhaltenden, erheblichen Einsatz von Ressourcen, Koordination und Konzentration des Bedrohungsakteurs auszeichnet. Es sei  offensichtlich, dass Midnight Blizzard versucht, die gefundenen vertraulichen Informationen verschiedener Art auszunutzen. Einige dieser vertraulichen Informationen seien zwischen Kunden und Microsoft per E-Mail ausgetauscht worden, schreibt das Unternehmen. Das ließ sich aus den exfiltrierten E-Mails ermitteln. Die Kunden wurden darüber informiert (ob das auch den HPE-Fall betraf, die ja auch gehackt wurden, wird nicht klar).

Microsoft vermutet, dass Midnight Blizzard die erhaltenen Informationen nutzt, um sich ein Bild von den anzugreifenden IT-Strukturen zu machen und die Fähigkeiten zu verbessern. Midnight Blizzard habe das Volumen einiger Aspekte des Angriffs, wie z. B. Passwort-Sprays, im Februar um das Zehnfache erhöht, verglichen mit dem bereits großen Volumen, das wir im Januar 2024 gesehen haben. Dies spiegelt laut Microsoft eine beispiellose globale Bedrohungslage wider, insbesondere im Hinblick auf ausgeklügelte Angriffe von Nationalstaaten. 

Redmond schreibt, dass man die Investitionen in die Sicherheit, die unternehmensübergreifende Koordination und Mobilisierung erhöht und die eigene Fähigkeit verbessert hab, um sich selbst zu verteidigen und seine Umgebung gegen diese fortschrittliche, anhaltende Bedrohung zu sichern und zu härten. Bleibt die alte Frage: "Nach dem Spiel, ist vor dem Spiel", wann kommt die nächste Meldung über einen Hack?

Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

39 Antworten zu Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen

  1. Holger sagt:

    Ich würde es ehrlich gesagt begrüßen, wenn weitere Angriffe stattfinden würden, bei denen dann mehrere große Kunden anschließend betroffen wären, das alles dann als Lieferkettenangriff. Der angerichtete Schaden müsste dann in der Größenordnung von mehreren hundert Milliarden bis über eine Billion Euro liegen.

    Grund dafür wäre, dass erst dann wirklich seitens der Politik reagiert würde, wenn der Schaden ein so hohes Ausmaß haben würde, dass man es nicht mehr weiter ignorieren kann, dass es ein Unternehmen wie Microsoft gibt, dass ein Monopolist, wie es im Buche steht, ist, aber sich einen Dreck um die eigene Sicherheit und die Sicherheit der Kunden schert und bisher jedesmal solche Vorfälle heruntergespielt hat.

    Und das alles vor dem Hintergrund, dass man bei Microsoft seit mehr als 20 Jahren mehr oder weniger bei Sicherheitsaspekten herumdilettiert, wo selbst Sicherheitslösungen wie Defender, Bitlocker und Secure Boot Sicherheitslücken aufweisen und das Sicherheitskonzept in der Cloud so löchrig ist wie Schweizer Käse.

    • Stephan sagt:

      Auf solche Antworten Richtung Microsoft braucht man ja nicht lange warten.
      Man kann in diesem falle aber davon ausgehen, das Unwissenheit vorliegt oder der Artikel nicht richtig gelesen wurde.

      Der Angriff hat im eigentlichen Sinne nichts mit der Bösen Microsoft zu tun, sondern kann jeden Treffen.
      Die Angreifer haben per Passwort-Spray-Angriff oder wie es früher genannt wurde mit Brute Force und Passwortliste der Zugang geknackt.

      Wenn Benutzer ein unsicheres Passwort verwenden, und dieses "Geraten" wird, kann das Unternehmen oder das Betriebssystem nichts dafür.
      Das kann dir genauso gut unter Linux oder iOS passieren.

      Also wieder einfach nur ein Microsoft Bashing!

      • Philipp sagt:

        Natürlich ist jeder für die Sicherheit seiner Systeme selbst verantwortlich, aber wie oft ist es schon vorgekommen, dass ein Anbieter Kundendaten verloren hat, obwohl Konten mit sicheren Passwörtern und 2FA geschützt wurden? Wenn Microsoft an der passenden Stelle gehackt wird, sind ALLE M365-Umgebungen in Gefahr und damit auch die Daten von mehreren Millionen Kunden. Dieses "Microsoft-Bashing" ist schon gerechtfertigt. Microsoft bietet sich mit seinen Produkten als All-in-One-Lösung für Unternehmen an und viele nehmen diese Möglichkeit gerne wahr, weil sie darauf vertrauen, dass ein milliardenschweres Unternehmen wie Microsoft auch eine entsprechend gute Sicherheit bieten kann und das ja alles so praktische Tools sind, die mit M365 aufwarten. Aber anscheinend schlampt das Unternehmen mit der Sicherheit und besudelt das Vermächtnis von Bill Gates.

        • Stephan sagt:

          Naja, die "Mit Linux wäre das nicht passiert" Fraktion ist ja wiedermal voll im Gange.

          Ändert aber leider nichts daran, dass auch das sicherste Linux nichts hilft, wenn der Benutzer ein Passwort nach dem Schema "qwertz" verwendet.

          Wenn man dann noch der Einfachheit halber das gleiche Passwort für andere Zugänge oder Systeme verwendet,
          liegt das natürlich nicht an Linux.
          Außer natürlich, es wird ein Microsoft Produkt verwendet, dann liegt die Schuld natürlich dort und nicht am User.

          Ich lasse meine Haustür auch immer Aufstehen und habe keine Angst.
          Immerhin habe ich ein ABUS Sicherheits Türschloss für viel Geld.

          • Klausi sagt:

            Deine Trollerei wird immer schlechter…

            • Stephan sagt:

              Deinen Antworten werden auch immer sinnbefreiter und haben von Mal zu Mal weniger mit den eigentlichen Themen zu tun.

              Aber, ist halt so, wenn man wie immer Microsoft Bashing betreiben möchte,
              und merkt, dass die Gegenargumente nicht falsch sind.

      • Günter Born sagt:

        Es wurde ein Testsystem gehackt, mit dessen Rechten die Angreifer auf Produktivsysteme kamen. Finde den Fehler…

      • Anonymous sagt:

        ahja.. Anwenderfehler, kann man nichts machen.
        Oder müsste sowas wie einen "banne-bekannt-kompromitierte-Passwörter"-Dienst umständlich bauen oder sogar betreiben.
        Ist niemandem und im besonderen diesem Unternehmen verständlicherweise nicht zuzumuten.

        oh, warte: https://learn.microsoft.com/en-us/entra/identity/authentication/concept-password-ban-bad

      • Klausi sagt:

        Ne, lern mal lesen, verstehen, handeln, Stephan. Vielleicht klappt es dann sogar bei dir. Diese Microschrottfanboytrolle werden auch immer schlechter…

    • Stefan sagt:

      Holger,

      Leider ist dein Ansatz naiv und für dich scheinbar die Auswirkungen nicht abschätzbar.
      Wir können drüber reden, dass genehmigte Penetration-Tests auf Lücken verpflichtend und regelmäßig durchzuführen sind und Ergebnisse zu berichten ab gewisser Unternehmens-Größe. Bei kritis generell.

      Aber doch bitte nicht von kriminellen Banden, die von Autoritären Systemen unterstützt werden.

      Oder wollt ihr alle irgendwann in einer Diktatur wie Russland oder Überwachungsstadt wie China leben?

      Es fehlt grundsätzlich am Security by Design. Da viele safety und Security nicht unterscheiden können.
      Insbesondere bei Software und Security Engineering… was wirklich Engineering dabei ist, wissen viele Programmierer nicht … leider

      • Holger sagt:

        Das Problem ist doch, dass es seitens der Politik egal ob in den USA oder in Europa bisher nicht in die Köpfe gedrungen ist, dass Microsoft als Quasimonopolist im Bereich Clouddienste für Unternehmen eine Schlüsselstellung einnimmt. Das ist jetzt das zweite Mal, dass mit erbeuteten Zugangsdaten weitere Daten in anderen Bereichen abgegriffen werden konnten.

        Da steht, dass man auf einen Test-Tenant zugreifen konnte und oh, welch ein Wunder dann auch noch auf interne Daten bei Microsoft. Es ist ja erst weniger als ein Jahr her, dass bei einem ähnlichen Fall mit einem Tenant Key auf viele weitere Tenants zugegriffen werden konnte, weil sich der Tenant Key als Generalschlüssel entpuppte. Hat man bei Microsoft nichts daraus gelernt oder verlässt man sich darauf, dass die Kunden dann ja wohl aufzupassen hätten?

        Ich selbst habe beruflich nichts mehr direkt mit Microsoft zu tun. Mein Gebiet ist Netzwerk und Netzwerk/Security, aber egal ob Cisco oder Microsoft, geschlampt wird in beiden Unternehmen.

        Ich würde für eine Beweislastumkehrung plädieren. Nicht der Geschädigte hat zu beweisen, dass man bei Microsoft grob fahrlässig umgegangen ist, sondern umgekehrt, notfalls mit Einsicht in den Quellcode und das Ganze dann als Gesetz verankert.

        • Horst sagt:

          Quasimonopolist… so wie Google (GCP) oder Amazon (AWS)??

          Die Boomer wollen doch alle ihre Mittlere Datentechnik, Windows XP, Batches und VBS zurück. Diese Boomer-Admins wurden zum Glück zu Hauf bei Fimen aussortiert. Die sind nämlich das echte Sicherheitsproblem.

    • Anonym sagt:

      > Ich würde es ehrlich gesagt begrüßen, , wenn weitere Angriffe stattfinden würden, … Der angerichtete Schaden müsste dann in der Größenordnung von mehreren hundert Milliarden bis über eine Billion Euro liegen.

      Ganz schwierig! Diese Äusserung dürfte m. E. unter § 140 StGB (Belohnung und Billigung von Straftaten) in Verbindung mit § 317 StGB fallen.

      Aber ganz davon abgesehen: Haben Sie sich einmal überlegt, welche beträchtlichen Störungen des öffentlichen Lebens (insb. auch im Gesundheitswesen!) bei einem Schaden von mehreren hundert Milliarden Euro einträten? Das würde mit Sicherheit auch Sie und ihr Umfeld betreffen!

      • Wil Ballerstedt sagt:

        Na ja, Microsoft scheint (auch) dieses Mal glimpflich davonzukommen. Allerdings hat Holger Recht: Erst wenn es Microsoft wirklich weh tut, wird es seine Produktpolitik überdenken. Manchmal erscheinen mir MS Bananen heute grüner als früher.

    • Martin Wildam sagt:

      Ich verstehe nicht, wie hier die Politik helfen soll, die mit den Regelungen sowieso meistens hinten nach ist und wirklich helfen tun die Maßnahmen doch auch nicht. Man denke nur an die Auswüchse mit den Cookies, wo doch jeder nur genervt ist, aber dann halt mit 1×1-Pixel-Images etc sowieso wieder Alternativen gefunden wurden.

      Das wirkliche Learning wäre, wenn die Firmen sich wieder darauf besinnen würden, Dinge wieder selber in die Hand zu nehmen und sich nicht auf Cloud-Anbieter zu verlassen. Nur weil Anbieter groß, heißt das noch lange nicht, daß da Security auch groß geschrieben wird.

  2. ThBock sagt:

    Tja, wenn man es schafft, einen Quasi- Monopolisten zu knacken, hat man gleich so gut wie alle im Sack!

  3. Luzifer sagt:

    Tja bei Linux muss man den Quellcode nicht klauen ;-P um zu sehen welche Lücken man ausnutzen kann die liefern den frei haus.

    • Stephan sagt:

      Tja, selbst Linux kann sich nicht schützen, wenn der Benutzer ein Passwort verwendet, was leicht zu raten oder so gängig ist, dass es in Passwortlisten steht.

      Böses Microsoft, dass die Benutzer Passwörter verwenden lässt!
      Kann unter Linux nie passieren.

      • Klausi sagt:

        Stephan scheint auf seine eigene Inkompetenz auch noch stolz zu sein, sehr bedenklich…

      • Lothar sagt:

        Sorry, aber das ist doch gar nicht das Problem!
        Wenn ich auf einem Testsystem das Passwort 12345 nutze stört das ja keinen.
        Wenn es dann aber durch das Testsystem möglich ist die Rechte vom Produktivsystem zu erlangen, dann hat "Microsoft" da erheblich geschlampt.

        • Anonymous sagt:

          Wie wär's mit "das eine tun (test und produktion strikt trennen) ohne das andere zu lassen (verwenden von bekannt kompromittierten Kennwörtern unterbinden)"?

      • Daniel sagt:

        Wenn ein Autofahrer seinen Schlüssel draußen mit Panzerband an die Autotür klebt sagt auch keiner das Schloss ist unsicher. Wenn aber jedes Schloss des Autoherstellers durch Handauflegen den Wagen öffnet dann ist es ein Problem.

      • Robert sagt:

        Deswegen sind ja Linux-System am Netz nur via SSH erreichbar und das SSH so eingestellt, dass keine Passwörter akzeptiert werden, sondern nur SSH-Keys.

    • Anonymous sagt:

      Tja, aber Microsoft wird ja nun endlich auch FOSS, wenn die Abgreifer den Code präsentieren. Da können dann *auch* die Schlangenölfabriken bestimmt noch die eine oder andere wunde Stelle finden.

      Man darf sich natürlich auch fragen, wie umfangreich "einige der Quellcode-Repositories" waren.

  4. Bernd B. II sagt:

    "Bislang haben wir keine Hinweise darauf gefunden, dass von Microsoft gehostete Kundensysteme kompromittiert worden sind."

    Stimmt für diesen Fall. Technisch tritt das zu.
    Unberechtigte Zugriffe auf Cloud-Instanzen fanden im Rahmen des im Vorjahr festgestellten Hacks statt:
    https://www.borncity.com/blog/2023/09/18/interview-mit-kontrafunk-der-kleingeredete-hack-der-microsoft-cloud

  5. rpr sagt:

    Einfach mal akzeptieren das wir schon länger in Kriegszeiten leben und es kaum hilft sich die Augen zu zu halten.
    Früher oder später kommt es zum Desaster und niemand will es dann gewesen sein.
    Und nein Linux ist nicht die perfekte Lösung aber wenigstens ein ehrliches Stück Software.
    Wer Assange und Snowden nicht völlig ignoriert muss wissen was kommen wird.
    In deren Unterlagen stand schon mehr als deutlich was damals schon möglich war und gemacht wurde (egal von welchem Staat)

  6. Benny sagt:

    Die Frage aller Fragen ist, ob "wir" dieses „Katz-und-Maus"-Spiel weiterspielen wollen oder uns dafür entscheiden, die Maus aus dem Spiel zu nehmen.

  7. Alzheimer sagt:

    Dann gibt's vielleicht bald die ganze MS-Software als Opensource Version oder als Closedsource mit "kleinen Anpassungen" und nennt sich dann Blizzard-Soft oder so ;)

  8. Sebastian sagt:

    Mir fehlt der Beweis auf "russische" Angreifer. Microsoft "bezeichnet" ist nix wert. Microsoft findet auch SaaS/PaaS gut und nennt es "Cloud" weil es ihnen viel bringt aber dem Kunden schadet. Klar können das Russen gewesen sein oder auch nicht, spielt aber im Endeffekt keine Rolle.

  9. Ano sagt:

    Ist doch eh nur ein Vorgeschmack von dem, was noch kommt… wenn die KI erstmal richtig in Gang kommt… egal..
    Dort arbeiten sehr viele Menschen und es gibt ein berechtigtes Interesse von (vielen) autoritären Staaten dort einzudringen… ich verstehe nicht, wie man dann 9mal Kluge Sprüche raushauen kann. Menschen machen Fehler (oder werden evtl. sogar gezwungen Fehler zu machen..).
    Der Problem liegt praktisch schon im System und kann (derzeit) nicht beseitigt werden…
    Selbst wenn meinetwegen 50% der Kunden eine Möglichkeit hätten auf alternative Systeme umzusteigen, liegen da immer noch genug interessante Daten zum…

  10. Martin B sagt:

    die Zentralisieung von Diensten in der Cloud ist eine tolle Sache, die Ansammlung von Wissen nutzt den Betreibern und auch Angreifern, eine ausgeprägte Win-Win Situation. Zahlen tun Dritte.

    • Ano sagt:

      @Martin B.

      Sehr treffend formuliert…
      win win win.. irgendwer verkauft das auch noch

    • Holger sagt:

      Danke, Martin, du hast es erkannt, die Crux ist, dass alle Tenants zentral verwaltet werden und deshalb wenn ein Tenant kompromittiert wurde, es für Angreifer einfacher ist, damit weitere Tenants zu kompromittieren, vor allem, wenn dann noch geschlampt und nicht in der Entwicklungsphase geprüft wurde, dass alle generierten Keys nur für ihren eigenen Tenant gültig sind.

      Die Sache mit der Zahlung müsste also umgelegt werden, sonst wird das irgendwann zum Desaster und Putin, Xi und Kim hätten ihr Ziel erreicht und den Westen dauerhaft destabilisiert.
      Nur fürchte ich eben, dass sich nichts entscheidendes ändern wird in nächster Zeit. Microsoft wird nach wie vor erfolgreich herunterspielen und die Geschädigten werden keine Möglichkeit haben Microsoft in Regress zu nehmen, weil es an gesetzlicher Handhabe fehlt.

  11. Horst sagt:

    Und wieder ein total unqualifizierter Artikel… Und die Kommentare erst. Schlimmer als Heise.

  12. Martin B sagt:

    das Klumpenrisiko ist nicht aus der Welt zu schaffen und auf Grund der hohen Komplexität der Online Produkte, sind nicht nur Schwachstellen ein Problem. So werden zahlreiche Applikation teils mit Vollzugriff (Graph) in Azure registriert, wer darüber Zugang erlangt, hat den goldenen Schlüssel. D.h. nicht ein Hack ist das Problem, sondern der schlampige Umgang mit dutzenden dieser Applikationen. So gibt es z.B. Migrationstools, die mit immer dem gleichen Zertifikat regisrtiert werden, jetzt fehlen nur noch ein paar IDs und man kann ohne Zugangsdaten auf fremde Tenants zugreifen, die auch diese App registriert haben. Nur ein Beispiel von vielen.

    Dennoch, die Infiltration bei MS kann jetzt schon schlimmer sein als bekannt, wir wissen es nicht.

  13. michael sagt:

    Haha – MS muß ihren eigenen Schei…. benutzen und der ist halt unsicher. Sie gehen also an ihrem eigenen Schrott-Produkt Zugrunde. So ist das halt, wenn man Sicherheit nicht kann und die Produkte nur für die Aktionäre billig programmiert werden. Die Popcorn-Maschine läuft schon wieder heiß. mehr davon.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.