Der Mitteldeutsche Rundfunk hat in einer Meldung vom 26. März 2024 berichtet, dass ein im Januar 2024 bekannt gewordener Hacker-Angriff auf Microsoft nach Ansicht von Experten immer noch weiter laufe. Zitiert wird eine Aussage von Trend Micro, dass die Angreifer (APT29) sich im Netzwerk festgesetzt hätten. Nachdem ich von mehreren Lesern auf das Thema angesprochen wurde, versuche ich eine kurze Einordnung – denn für die Blog-Leserschaft sollte es keine neue Erkenntnis sein.
Anzeige
Die MDR-Meldung vom 26. März 2024
Ich bin erstmals durch nachfolgenden Tweet von Dani Stoffers auf den Sachverhalt aufmerksam geworden und hatte auch direkt darauf geantwortet. Dani Stoffers verweist auf den MDR-Beitrag Hacker-Angriff auf Microsoft hält offenbar weiter an vom 26. März 2024 – war also ganz frisch.
Die Redaktion des MDR führt aus, dass der im Januar 2024 bekannt gewordene Hacker-Angriff auf Microsoft (siehe mein Blog-Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert) wohl anhalte und "nach Ansicht von Experten immer noch laufe". Der MDR bezieht sich einerseits auf eine Anfrage beim Sicherheitsunternehmen Trend Micro, das mit der Aussage "die Angreifer scheinen in der Lage zu sein, ihre Präsenz im Microsoft-Netzwerk fortzusetzen" zitiert wird. Weiterhin kommen Informatiker der Universität Halle zu Wort, die die Angriffe als besorgniserregend einstufen.
Im Artikel erfährt man noch, dass hinter dem Hack mutmaßlich der russische Geheimdienst steckt – gesprochen wird von der Gruppe APT29, die auch unter den Alias-Namen Cozy Bear oder Midnight Blizzard bekannt sind. Weiterhin hieß es, dass die Angriffe im März anhielten und dabei wohl auch Quellcode von Microsoft erbeutet wurde.
Anzeige
Die Meldung von Anfang März 2024
Im ersten Augenblick dachte ich beim Überfliegen des obigen Tweets, dass es eine neue Entwicklung in der Angelegenheit gebe. Als ich aber die im MDR-Beitrag aufgelisteten Stichpunkte wie Midnight Blizard, Quellcode erbeutet etc. las, wurde klar, dass es sich um eine Information handelt, die seit Anfang März 2024 durch Microsoft selbst publik gemacht wurde.
Ich hatte das Thema zum 9. März 2024 im Blog-Beitrag Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen aufgegriffen. Basis meines Beitrags war ein aktualisierter Bericht Microsoft an die US-Börsenaufsichtsbehörde SEC sowie der Microsoft-Beitrag Update on Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard vom 8. März 2024. Dort gestand Microsoft ein, dass man Beweise dafür gefunden habe, dass Midnight Blizzard die ursprünglich aus den E-Mail-Systemen des Unternehmens exfiltrierten Informationen nutzte, um sich weiterhin unbefugten Zugang auf Microsofts Netzwerke zu verschaffen oder es zu versuchen. Und es wurde bekannt, dass den Angreifern Zugriff auf einige der Quellcode-Repositories und internen Systeme des Unternehmens gelungen war, und zwar nachdem Microsoft im Januar 2024 glaubte, den Zugriff unterbunden zu haben.
Unter dem Strich reflektiert der MDR-Beitrag vom 26. März 2024 also die Erkenntnisse, die seit dem 8. März 2024 vorlagen. Interessant ist die Einschätzung der vom MDR befragten Experten, die "von einem kompletten Fail, ziemlich dramatisch, super gefährlich" reden. Ein IT-Sicherheitstester der Universität Halle wirft berechtigt "Da ist natürlich die Frage, warum da Zugangsdaten hin und her geschickt werden? Und warum ist Microsoft nicht in der Lage, herauszufinden, welche Zugangsdaten möglicherweise kompromittiert sind, dass man da entsprechend gegensteuern kann?" in die Debatte ein. Der Schluss: Es spreche nicht dafür, dass die Sicherheitsmaßnahmen bei Microsoft besonders gut waren.
Hier verweise ich auf meine Beiträge zu den Hacks von Midnight Blizzard und des vorherigen Hacks der chinesischen Gruppe Storm-0558, die Microsoft in keinem guten Licht erscheinen lassen. In beiden Fällen muss sich Microsoft Versäumnisse in Sachen Sicherheit vorwerfen lassen, was die Hacks begünstigte oder ermöglichte. Ich hatte in meinen Beiträgen angedeutet, dass Verantwortliche bei Kunden in Deutschland schon die Frage stellen sollten, ob Microsofts Cloud-Angebot angesichts dieser Vorfälle noch als sicher und erste Wahl angesehen werden sollten.
Wurde in "manchen Kreisen" nicht so gut aufgenommen – immerhin arbeiten bei Microsoft "Hundertausende" rund um die Uhr an Cybersicherheit. Und das BSI hat nicht nur "bunte Fähnchen", sondern betreibt seit neuestem auch ein Lagezentrum Cybersicherheit, in dem dann die Angriffe schneller erkannt werden sollen. Aber was weiß denn ich schon über Cybersicherheit, bin ja nur Blogger ohne Cloud-Anschluss. Daher verweise ich eher auf unser Vorbild Amerika und meinen Artikel Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen, der von handelnden US-Behörden und Großkunden berichtet. Könnte ja vielleicht ein Fingerzeig sein.
Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt
Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen
Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen
Anzeige
Ist doch super, dass Microsoft damit den Beweis erbringt, dass sie selbst machtlos gegen Cyberangriffe sind. Damit dürfte es problematisch sein, wenn sie weiterhin versuchen ihre Kunden in die vermeidlich sichere Cloud zu drängen.
Und alle diejenigen, denen das noch nicht Warnung genug ist, und lieber weiter dem Gesülze von der herrlichen Cloud wie die Lemminge folgen, die dürfen sich dann aber nicht beklagen, wenn ihre Naivität ein böses Erwachen hat…
Ich wundere mich immer wieder über die vielen Projektangebote, wo Unternehmen mit zig 1.000 Mitarbeitern auf eine neue Office Version umgestellt haben, und erst danach bemerken, was alles nicht mehr funktioniert.
Da wird gern mal ohne Sinn und Verstand von Office 32Bit auf 64Bit gewechselt oder mal eben alles in die Cloud verlagert, denn je neuer desto besser muss es ja sein, dachten die… haha, schön blöd
PS: Solche Aufträge neheme ich natürlich auch nicht an – normalerweise ;-)
Leider wahr – schöne Kurzbeschreibung des alltäglichen Wahnsinns. Und warum das alles? Weil "hoch intelligente" Kaufleute, bzw. studierte Betriebs-Wirtschafts … bla bla … Manager! mit ihrer Klugscheißerei immer noch die Oberhand bei den Entscheidungsträgern haben. Kosten sparen, Kosten sparen, mehr Profit, mehr Profit … und schlussendlich ins eigene Knie geschossen. Selber Schuld unsere "Wirtschaft", an ihrer Misere. Auch der sog. Fachkräftemangel ist ja ein erfolgreich selber entwickeltes Produkt der Dummheit, Inkompetenz, Unfähigkeit, des nicht sehen WOLLENS, der Augen zu und durch; Und der notfalls muss die Politik uns retten -Mentalität … über Jahrzehnte hinweg das immer gleiche Trauerspiel seitens unserer "Intelligenzia".
Kaum ein Zug fährt noch pünktlich, Service? Komfort?, oder ob Briefe den Adressaten erreichen, auch immer öfter eher vom Zufall der Tourenplanung und der personellen Besetzung abhängig. Wenn Leute lieber Bürgergeld beziehen als sich auf einen grottigen Job Einzulassen, dann sind natürlich die Leute faul und das BG muss gekürzt werden. Bloß nicht bei sich selber Anfangen, vernünftige Steuer-Reformen machen (wo man selber wieder entsprechend hohe Steuern zahlen müsste), bessere Löhne zahlen, statt sich selber noch'n Porsche in die Garage zu stellen. Und vor allem – was bislang kaum diskutiert wird – für MENSCHENWÜRDIGE Arbeitsbedingungen Sorgen! (in vielen Jobs, nicht alle, aber zb. fast überall wo im Schichtdienst Menschen buchstäblich verheizt werden, wie auch in vielen Sozialberufen) Gab ja kürzlich diese Fernsehdoku "Sinn der Arbeit", wo mancher unserer Schlauköppe einiges Lernen könnte. Im übrigen auch zur Frage Effizienz/Produktivität. Denn was für Arbeitsplätze haben wir denn immer mehr? Bürokratiemonster, sinnloser Quatsch, der vor allem dem Ziel dient Ungerechtigkeit so zu verschleiern, das alle glauben dieser ganze Verwaltungsirrsinn wäre notwendig und würde zu mehr Gerechtigkeit führen … BLÖDSINN !
Die Führungs-Strukturen dieses Landes stecken immer noch in der Arroganz aus früheren Erfolgen fest. Ob sich das je ändert? Vielleicht tatsächlich erst dann, wenn alles in Schutt und Asche liegt und jeder irgendwo seine Kartoffeln selber anbauen muss um irgendwie zu überleben, ohne Rente, ohne ausreichend (Geld) Einkommen generell … irgendwelche IT-Probleme haben wir dann sowieso nicht mehr.
Kleines Beispiel zum Schluss: Wie die Finanz-Terroristen (Banken & Versicherungen) uns mit Hilfe ihre willigen Hure (Politik) einmal mehr verarschen wollen. Die Auswirkungen der klimatisch Wetter bedingten Extreme (Ahrtal …) werden genutzt um uns nun die Zwangs-Elementarschäden-Versicherung über zu stülpen. Das von der Wirtschaft (durch deren Einfluß auf die Politik) maßgeblich verursachte Risiko (Wetter) soll nun also wiederum zum Vorteil der (Finanz)-Wirtschaft genutzt werden um die Bürger weiter Auszuplündern. Denn eine privatwirtschaftliche Versicherung enthält logischerweise IMMER einen fetten Gewinn-Anteil, von den in derartigen Produkten enthaltenen Steuern gar nicht zu reden. Der Staat macht sich so nebenbei dann also auch wieder Fett am Elend der Menschen!
Wirklich "solidarisch" und außerdem fair, wäre eine sinnvoll organisierte Schadenbegrenzung durch Politik die Bauen in Risikogebieten endlich wirksam unterbindet, das Verlagern von Gebäuden fördert und den privaten Hochwasserschutz etc. fördert. Und die dann trotzdem noch unvermeidbaren Schäden aus Steuermitteln kompensiert. Ohne das sich private Verssicherer und Banken daran eine goldene Nase verdienen … Stichwort "Riester-Rente" …
Aber naja, es liegt eben an den Menschen, die man so erfolgreich verblödet hat, das sie der Politik jeden Scheiß glauben und einfach nicht mehr selber denken. Immer schön korrupt-undemokratische Pseudodemokraten wählen, im Glauben an eine ach so tolle "Demo"kratie, die nie wirklich existiert hat. Sonst würden wir ja in einer ganz anderen Welt leben!
Wirtschaftshistoriker haben festgestellt, in den USA hat das amerikanische (Kapitalismus)-System in den 1950er und 1960er Jahren am besten funktioniert (der american dream, von der Chance durch Fleiß Aufzusteigen). Eine Zeit in der es allerdings normal war, das (super)-Reiche und Konzerne 80 bis 90% Steuern zahlten … oh Wunder oh Wunder ! Wer hätte das gedacht … Aber so ist das heute, da werden mit viel Geld "Studien" gemacht, mit dem Ergebnis das Wasser nass ist und man sich am Feuer die Finger verbrennen kann … Hauptsache diese ganzen überflüssigen Akademiker werden irgendwie beschäftigt. (Betonung auf ÜBERFLÜSSIG)
Nach einem Angriff in dieser Größenordnung ist es gute Praxis, ALLE Systeme als kompromittiert zu betrachten und neu aus bekannt sauberen Daten aufzusetzen.
Die SIT hat das gerade – sehr zum Leidwesen ihrer Kunden – vorgemacht.
Microsoft will bzw. kann das nicht – einerseits weil sie von den sprudelnden Einnahmen der Azure-Cloud inzwischen sehr abhängig sind und andererseits vermutlich, weil ihnen die Daten ihrer Kunden herzlich egal sind.
Eine der ersten Reaktionen war ja auch ein Aufruf an die Kunden, die Integrität ihrer Daten selbst zu überprüfen und hat lediglich ein paar bisher kostenpflichtige Logging-Dienste freigeschaltet.
An ein Abschalten von Azure/M365 oder zurücksetzen der Daten auf einen Stand von vor dem Angriff wird man weder bei MS noch bei den Kunden jemals auch nur im entferntesten gedacht haben.
Wenn ich die bisherigen Analysen richtig verstehe, haben sich die Angreifer eine ganze Weile völlig unbeobachtet (will heißen es existieren keinerlei Logs oder Protokolle ihrer Aktionen) bewegen und dabei natürlich auch nach Belieben neue Kundenkonten, Tenants, und Zugänge anlegen können.
Wenn sie dabei auch nur halbwegs geschickt waren und mit wie auch immer gearteten Patternanalysen (z.B. existiert die verbundene Domain, gibt es eine Registrierung der angegebenen Firma, findet typische Nutzung statt) nicht zu finden sind, dann werden sie wohl immer noch unentdeckt dort schlummern.
Vielleicht ein paar, vielleicht tausende.
Am ehesten fällt das nicht den Technikern, sondern den Kaufleuten beim Billing auf (Clifford Stoll etwa hat 1986 sein "Kuckucksei" wegen 75 fehlenden Cents in der Abrechnung entdeckt und damit einen der größten Computerbetrugsfälle der damaligen Zeit aufgedeckt).
Nur scheint es bei MS ja auch einen riesigen Berg "mal eben" angelegter Test-Tenants ohne sauber hinterlegte Kostenstellen für irgendwelche internen oder auch externen Tests zu geben, die man scheinbar auch nicht einfach wegschneiden kann.
MS scheitert hier einfach an der eigenen Größe und ein Stück weit auch am eigenen Erfolg.
Ich glaub' die setzen auch ihre eigene Software ein… ;)
Die Frage ist in der Tat, ob eine derart große Ansammlung von Anwendungen überhaupt abzusichern ist, sie stehen nun mal öffentlich bereit. Wie konsequent kann auch administrative Delegation bei MS alleine in der Praxis funktionieren? Wie viele haben hohe Privilegien? Wo viele intern Zugriff haben, ist Missbrauch nicht ausgeschlossen, dafür gab es schon genug Beispiele (Verkauf von iCloud Daten bei Apple u.a.).
Wenn aber schon Distris vorab als globale Admins in Tenants eingetragen sind, muss man sich schon wundern.
Das ist die eine Seite der Medaille, die persitenten Hacks die andere.
Was passiert, wenn Azure zusammenbricht?
"To big to fail" scheint ja im Falle MS nicht zu funktionieren, sie failen ja gerade wegen ihrer Größe.
Da brechen doch fast Staatsapparate zusammen, die wenigsten sind doch auf selbstverwalteten Linux-Systemen, ala Limux.
So gesehen, machen es die Chinesen momentan in ihrer radikalen IT-Landesabschottung doch richtig, sie sichern ihre Systeme ab. Und lügen wir uns doch nicht in die eigene Tasche. Wer so planvoll Raumstation und Mond und Mars ziemlich sicher erkundet und "besiedelt" muss, meiner Meinung nach, eine gut funktionierende IT haben.
Angesichts unserer westlichen Sicherheitsarchitektur bin ich da mal wieder der Schwarzmaler, sorry.
Oha ist die Deutsche Presse/Rundfunk aber schnell ;-P Wochen zu spät die Meldung!
Und da heist es immer man solle auf die Qualitätspresse setzen anstatt aufs Internet… muhahha
Gibt es denn eigentlich Neuigkeiten zu dem Thema seit Anfang März? Vielleicht sehen wir ja nur die weißen Mäuse, die von MS beobachtet durch ein Labyrinth rennen und dabei verraten, wie sie ticken.
Du hast in dem Betriebssystem auch so viel Schrott, dass man eigentlich gar nicht mehr durchblickt. Hier hat man sicher auch als Sicherheitsforscher Probleme, weil man erstmal durchblicken muss und eine gewisse Verlässlichkeit wäre auch nicht schlecht, dass Änderungen/Anomalien besser auffallen.
Was Microsoft alles so von oder ins Internet schickt, auch Router von AVM macht auch im Sekundentakt irgendeine Discovery-Abfrage ins lokale Netz, für irgendwelche Schnittstellen.
Das MUSS alles nicht sein. Da blickt doch Niemand mehr durch und wenn man sich mal damit beschäftigt, dann muss man sich auch erstmal durch den ganzen Schrott wühlen.
Das macht der Chromium Browser auch.
chrome://flags/
Allow cast device discovery with DIAL protocol
Enable/Disable the browser discovery of the DIAL support cast device.It sends a discovery SSDP message every 120 seconds – Mac, Windows, Linux, ChromeOS, Fuchsia, Lacros
#media-route-dial-provider
Moin,
Tipp:
zieht euch die YouTube Doku "Putin und seine Bären" von "funk" rein.
Wirklich sehr interessant!
Dort werden u.a. benannte Hackergruppen und deren staatl. Zusammenhänge erläutert.
Tipp: Bei "funk" kann man aufhören zu lesen..
Da wird On-Prem plötzlich doch wieder modern und angesagt.
Mh, sollte mein Rechner mal befallen sein, boote ich den von einem USB-Stick, scanne meine Daten und sichere sie auf einer externen Platte.
Dann mache ich den Rechner platt!
Entweder wird das System ganz neu aufgesetzt, oder ich spiele ein Backup zurück.
Und warum ist MS zu so einer Strategie nicht in der Lage?
An Systemen, die gehackt wurden, herumzudoktern ist doch totaler Schwachsinn!
du scannst und sicherst also deine Daten erst nach einem Befall?
Was ist dabei also besser als was MS macht? Nach einem Befall müssen deine Daten als kompromitiert gelten, ein dann erst sichern ist grob fahrlässig. Scanner hinken immer hinterher, stellen also keine Garantie für die Unversehrtheit deiner Daten dar.
Na da hoffe ich mal das du kein tragende Rolle bei deinem Arbeitgeber hast!
Habe ich geschrieben, dass ich diese Daten dann sofort wieder auf's System lasse?
Nein.
Aber grundsätzlich gebe ich Dir recht!
Deshalb nutze ich für einen solchen Fall ein Backup, nur sind dann halt neuere Daten eben nicht enthalten, weswegen ich diese Daten zusätzlich auf einem externen Medium
ganz separat gesichert habe. Kann ja sein, dass so eine PDF, DOC oder was auch immer, dann halt doch wieder gebraucht wird.
UND vor der Nutzung wird auch dieses Medium durch ein System gescannt, welches nicht befallen werden kann.
Das wird noch lustig. Ich warte schon auf die große Headline "Microsoft Update verteilt monatelang Malware in alle Windows Systeme welweit". Dann knallt es so richtig. Das kommt dann nahezu einem weltweitem Stromausfall gleich. Das einzig positive wäre ein massenhaftes Abwandern von Microsoft zu anderen Anbietern und der Zerschlagung dieses Wasserkopfvereins. Da hilft dann auch kein Backup mehr, weil nicht nachvollziehbar ist welche Version nicht verseucht ist. Und dann auch nur komplett offline, weil jedes Update die Malware wieder herunterlädt. Das wird ein Spaß!
ja, das wäre der Solarwinds-Moment:-)
Mit MS Schlüssel signierte "Updates"
tja dann wären wir auf einen Schlag wieder in der Steinzeit.. da Linux keinem ädequaten Ersatz liefern könnte. Also Vorsicht was du dir wünschst ;-P
Jederzeit möglich. Das wissen auch Regierungen und beziehen das sicherlich in ihre Poltik mit ein. Nie das Herstellerland verärgern, von dem man über dort ansässige Firmen direkt und zu 100% abhängig ist.
Hatten wir doch schon alles durch fehlerhafte Updates.
Ist wie mit Frauen die bei ihren prügelden Ehemänner bleiben.
Mit Sinn und Verstand nicht zu erklären und man steht fassungslos daneben,
Bin seit Suse 6.0 auf Linux unterwegs und meine Meinung zu MS ist die gleiche wir zu anderen Schwerkriminellen.
Der Laden gehört verboten und eine Menge Leute der MS-Führungsriege in den Knast.
Gruß
Naja, ganz so drastisch würde ich das nicht sehen, aber der Laden gehört zerschlagen!
Azure (Cloud), Office, BS (Windows), usw.
Alles eigenständige Firmen ohne Verflechtungen miteinander.
Hallo Günter,
schön, dass Du Dich auch für Meldungen meiner regionalen TV- und Radiosender interessierst.
Der MDR (Mitteldeutscher Rundfunk) liefert ja mit seinem Programm vorrangig Informationen aus Sachsen, Sachsen-Anhalt und Thüringen.
Ich selbst, wie du weißt, wohne im Freistaat Sachsen.
Aber, ich möchte nicht als "Sachse" betitelt werden!
Ich wohne in der schönen Region des Vogtlandes, genau dort im Herzen – in der "Spitzenstadt" Plauen.
Also bin ich Vogtländer, und Plauen hat eine lange Tradition der Textil-Industrie.
Vielleicht ist dir das ja bei deinem angedachten (Un-) Ruhestand mal nen Besuch wert.
Dann kannst du mir gerne Bescheid geben, würde mich sehr persönlich freuen.
Microsoft ist zu fett. Mal schauen, was eine KI hier noch anrichten kann. Nachher bekämpfen sich US-KI und Russische-KI noch gegenseitig. Das macht alles keinen Spaß mehr.