{"id":290746,"date":"2024-01-20T07:47:56","date_gmt":"2024-01-20T06:47:56","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=290746"},"modified":"2024-01-25T07:34:44","modified_gmt":"2024-01-25T06:34:44","slug":"microsoft-durch-russische-midnight-blizzard-gehackt-e-mails-seit-nov-2023-ausspioniert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/01\/20\/microsoft-durch-russische-midnight-blizzard-gehackt-e-mails-seit-nov-2023-ausspioniert\/","title":{"rendered":"Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert"},"content":{"rendered":"

[English<\/a>]Microsoft ist wohl durch die staatliche russische Hackergruppe Midnight Blizzard, auch als Nobelium bekannt, erfolgreich angegriffen worden. Aufgefallen ist das am 12. Januar 2024, die Hacker waren aber wohl Monate in den Systemen und konnten dort E-Mails einsehen und abziehen. Der n\u00e4chste gro\u00dfe Hack nach dem Angriff der chinesischen Gruppe Storm-0558 von Mai bis Juni 2023.<\/p>\n

<\/p>\n

Hack durch Midnight Blizzard<\/h2>\n

\"\"Ich bin \u00fcber diverse Tweets wie den nachfolgenden auf das Thema gesto\u00dfen, welches in einer kurzen sec.go<\/a>-Mitteilung angesprochen und von Microsoft zum 19. Januar 2024 im Beitrag Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard<\/a> inzwischen eingestanden wurde.<\/p>\n

<\/a><\/p>\n

Am 12. Januar 2024 wurde vom Microsoft-Sicherheitsteam\u00a0 ein staatlicher Angriff auf die eigenen Unternehmenssysteme bemerkt. Dadurch liefen interne Prozesse an, um auf diese b\u00f6swilligen Aktivit\u00e4ten zu reagieren, diese zu unterbinden und den Sachverhalt zu untersuchen. Microsoft ist nach diesen Untersuchungen zum Schluss gekommen, dass der Angriff durch Midnight Blizzard erfolgte. Dass ist ein vom russischen Staat gesponserten Akteur, der auch als Nobelium bekannt ist.<\/p>\n

Nobelium (aka Midnight Blizzard, APT29 und Cozy Bear) ist eine russische, staatlich gef\u00f6rderte Hackergruppe, die vermutlich dem russischen Auslandsgeheimdienst (SVR) angeh\u00f6rt und in den letzten Jahren mit zahlreichen Angriffen in Verbindung gebracht wurde.<\/p><\/blockquote>\n

Angriff \u00fcber Test-Tenant<\/h3>\n

Microsoft schreibt, dass der Bedrohungsakteur ab Ende November 2023 einen Passwort-Spray-Angriff nutzte, um ein altes, nicht produktives Test-Tenant-Konto zu kompromittieren und Fu\u00df zu fassen. Bei diesem Angriff versucht man mit beliebigen Passw\u00f6rtern, die schlicht ausprobiert werden, auf ein Konto zuzugreifen. Das ist offenbar gelungen – mit Zweifaktor-Authentifizierung (2FA) w\u00e4re das so nicht m\u00f6glich gewesen.<\/p>\n

Mit dem Zugriff auf den Test-Tenant hatte der Angreifer wohl so etwas wie den Jackpot geknackt, denn er konnte die Berechtigungen des Kontos nutzen, um auf E-Mail-Konten, die bei Microsoft gehostet sind, zugreifen. Damit stand den Angreifern wohl der Zugang zu beliebigen E-Mail-Konten von Microsoft offen.<\/p>\n

E-Mails \u00fcber Monate abgezogen<\/h3>\n

Bei Microsoft wird es dann so dargestellt, dass der Angreifer mit den Berechtigungen des Kontos nur \"auf einen sehr kleinen Prozentsatz von Microsoft-Unternehmens-E-Mail-Konten zugegriffen habe. Das mag zwar sein, dass nur wenige Konten durchforstet wurden. Aber es waren auch die E-Mail-Konten von Mitgliedern des Microsoft F\u00fchrungsteams und von Mitarbeitern in den Bereichen Cybersicherheit, Recht und anderen Funktionen, unter den zugegriffenen Microsoft Konten.<\/p>\n

Die Angreifer hatten quasi Zugriff auf die \"Kronjuwelen\" des Microsoft Managements, die E-Mails des Pf\u00f6rtners oder Hausmeisters d\u00fcrften weniger interessant f\u00fcr die Angreifer gewesen sein. Der Angreifer exfiltrierte dann einige E-Mails und angeh\u00e4ngte Dokumente (der Umfang der abgezogenen Mails wurde nicht mitgeteilt).<\/p>\n

Die Untersuchung durch Microsoft hat ergeben, dass die Angreifer es zun\u00e4chst auf E-Mail-Konten abgesehen hatten, um Informationen \u00fcber Midnight Blizzard selbst zu erhalten. Die Angreifer wollten wissen, was die Sicherheitsspezialisten bei Microsoft \u00fcber diese Gruppe wei\u00df. Microsoft gibt an, dass man gerade dabei sei, die Mitarbeiter zu benachrichtigen, auf deren E-Mails zugegriffen wurde.<\/p>\n

Was nicht gesagt wurde<\/h2>\n

Liest man den Beitrag Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard<\/a>, klingt das alles ganz harmlos und verniedlichend. Es wurde ein nicht produktiv genutztes Test-Konto eines Tenants per Passwort-Spray-Attack geknackt. Und die Angreifer h\u00e4tte \u00fcber die Berechtigungen dieses \u00fcbernommenen Kontos nur auf \"ein geringe Anzahl an E-Mail-Konten\" von Microsoft zugegriffen. Und man hat auch sofort reagiert, als man das bemerkte.<\/p>\n

Liest man zwischen den Zeilen und \u00fcbersetzt die Microsoft-Angaben, stellt sich der Fall allerdings etwas anders dar. Ich habe den Sachverhalt mal etwas anders \u00fcbersetzt und zusammen gefasst.<\/p>\n