{"id":293160,"date":"2024-03-09T03:29:00","date_gmt":"2024-03-09T02:29:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=293160"},"modified":"2024-03-09T03:42:16","modified_gmt":"2024-03-09T02:42:16","slug":"microsoft-besttigt-russische-spione-midnight-blizzard-haben-quellcode-beim-zugriff-auf-systeme-gestohlen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/03\/09\/microsoft-besttigt-russische-spione-midnight-blizzard-haben-quellcode-beim-zugriff-auf-systeme-gestohlen\/","title":{"rendered":"Microsoft best&auml;tigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen"},"content":{"rendered":"<p><img decoding=\"async\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" width=\"200\" align=\"left\"\/>[<a href=\"https:\/\/borncity.com\/win\/2024\/03\/09\/microsoft-confirms-russian-spies-midnight-blizzard-stole-source-code-while-accessing-systems\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Microsoft musste nun best\u00e4tigen, dass russischen Cyberspione der Gruppe Midnight Blizzard im Januar 2024 nicht nur Zugriff auf die E-Mail-Konten des Microsoft Managements hatten. Die Angreifer waren zus\u00e4tzlich in der Lage, sich Zugriff auf interne Systeme zu verschaffen und auf Quellcodes von Produkten zuzugreifen. Microsoft liegen Hinweise vor, dass im Anschluss an den Januar 2024-Hack weitere Zugriffe erfolgten, bei dem auch auf Quellcode zugegriffen wurde.<\/p>\n<p><!--more--><\/p>\n<h2>Der Midnight Blizzard-Hack (Jan 2024)<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg06.met.vgwort.de\/na\/a261dafc6a5f45af84ac28609582a1a0\" width=\"1\" height=\"1\"\/>Am 12. Januar 2024 fiel dem&nbsp; Microsoft-Sicherheitsteam ein Angriff auf seine Unternehmens-IT auf. Zum 19. Januar 2024 hatte Microsoft das in einer kurzen <a href=\"https:\/\/web.archive.org\/web\/20240123005353\/https:\/\/www.sec.gov\/Archives\/edgar\/data\/789019\/000119312524011295\/d708866dex991.htm\">sec.go<\/a>-Mitteilung angesprochen (Beitrag inzwischen gel\u00f6scht) sowie im Beitrag <a href=\"https:\/\/msrc.microsoft.com\/blog\/2024\/01\/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard\/\">Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard<\/a> \u00f6ffentlich gemacht. Die Kurzform:<\/p>\n<ul>\n<li>Am 12. Januar 2024 wurde vom Microsoft-Sicherheitsteam&nbsp; ein staatlicher Angriff auf die eigenen Unternehmenssysteme bemerkt.  <\/li>\n<li>Microsoft bezeichnet die Angreifer als Midnight Blizzard oder Nobelium oder Cozy Bear, eine russische, staatlich gef\u00f6rderte Hackergruppe, die vermutlich dem russischen Auslandsgeheimdienst (SVR) angeh\u00f6rt.  <\/li>\n<li>Den Angreifern gelangt Ende November 2023 durch einen Passwort-Spray-Angriff der Zugriff auf ein nicht produktives Test-Tenant-Konto.  <\/li>\n<li>\u00dcber dieses Konto konnten die Angreifer die Berechtigungen ausweiten und auf auf E-Mail-Konten, die bei Microsoft gehostet sind, zugreifen.<\/li>\n<\/ul>\n<p>Damit stand den Angreifern wohl der Zugang zu beliebigen E-Mail-Konten von Microsoft offen. Es hie\u00df zwar in der Mitteilung von Januar 2024, dass der Angreifer mit den erlangten Berechtigungen des Kontos nur \"auf einen sehr kleinen Prozentsatz von Microsoft-Unternehmens-E-Mail-Konten\" zugegriffen habe. Darunter waren aber die E-Mail-Konten des Microsoft Managements. Nat\u00fcrlich hat Microsoft \"sofort reagiert und den Angriff gestoppt\". <\/p>\n<p>Ich hatte die Details im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/20\/microsoft-durch-russische-midnight-blizzard-gehackt-e-mails-seit-nov-2023-ausspioniert\/\">Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a> aufbereitet und bereits meine Sicht der Dinge dargelegt. Da wurde nicht alles kommentiert und Tage sp\u00e4ter wurde dann der HPE-Hack bekannt (<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/25\/firma-hpe-von-midnight-blizzard-seit-mai-2023-gehackt\/\">Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt<\/a>). Da musste noch mehr kommen.<\/p>\n<h2>Neue Zugriffe und Quellcodes abgezogen<\/h2>\n<p>In einem aktualisierten Bericht an die US-B\u00f6rsenaufsichtsbeh\u00f6rde SEC und in einem Artikel <a href=\"https:\/\/msrc.microsoft.com\/blog\/2024\/03\/update-on-microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard\/\" target=\"_blank\" rel=\"noopener\">Update on Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard<\/a> hat Microsoft zum 8. M\u00e4rz 2024 weitere Einzelheiten \u00fcber den Sicherheitsversto\u00df bekannt gegeben. Hier die Kernaussagen:<\/p>\n<ul>\n<li>In den letzten Wochen habt Microsoft Beweise daf\u00fcr gefunden, dass Midnight Blizzard Informationen, die urspr\u00fcnglich aus den E-Mail-Systemen des Unternehmens exfiltriert wurden, verwendet, um sich unbefugten Zugang zu verschaffen oder dies zu versuchen.  <\/li>\n<li>Dazu geh\u00f6rte auch der Zugriff auf einige der Quellcode-Repositories und internen Systeme des Unternehmens.  <\/li>\n<li>Bislang haben wir keine Hinweise darauf gefunden, dass von Microsoft gehostete Kundensysteme kompromittiert worden sind. <\/li>\n<\/ul>\n<p>Microsoft spricht in der Mitteilung von einem laufenden Angriff von Midnight Blizzard, der sich durch einen anhaltenden, erheblichen Einsatz von Ressourcen, Koordination und Konzentration des Bedrohungsakteurs auszeichnet. Es sei&nbsp; offensichtlich, dass Midnight Blizzard versucht, die gefundenen vertraulichen Informationen verschiedener Art auszunutzen. Einige dieser vertraulichen Informationen seien zwischen Kunden und Microsoft per E-Mail ausgetauscht worden, schreibt das Unternehmen. Das lie\u00df sich aus den exfiltrierten E-Mails ermitteln. Die Kunden wurden dar\u00fcber informiert (ob das auch den HPE-Fall betraf, die ja auch gehackt wurden, wird nicht klar). <\/p>\n<p>Microsoft vermutet, dass Midnight Blizzard die erhaltenen Informationen nutzt, um sich ein Bild von den anzugreifenden IT-Strukturen zu machen und die F\u00e4higkeiten zu verbessern. Midnight Blizzard habe das Volumen einiger Aspekte des Angriffs, wie z. B. Passwort-Sprays, im Februar um das Zehnfache erh\u00f6ht, verglichen mit dem bereits gro\u00dfen Volumen, das wir im Januar 2024 gesehen haben. Dies spiegelt laut Microsoft eine beispiellose globale Bedrohungslage wider, insbesondere im Hinblick auf ausgekl\u00fcgelte Angriffe von Nationalstaaten.&nbsp; <\/p>\n<p>Redmond schreibt, dass man die Investitionen in die Sicherheit, die unternehmens\u00fcbergreifende Koordination und Mobilisierung erh\u00f6ht und die eigene F\u00e4higkeit verbessert hab, um sich selbst zu verteidigen und seine Umgebung gegen diese fortschrittliche, anhaltende Bedrohung zu sichern und zu h\u00e4rten. Bleibt die alte Frage: \"Nach dem Spiel, ist vor dem Spiel\", wann kommt die n\u00e4chste Meldung \u00fcber einen Hack?<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/><a href=\"https:\/\/borncity.com\/blog\/2023\/07\/13\/china-hacker-storm-0558-in-microsofts-cloud-outlook-online-konten-gehackt\/\">China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2023\/07\/17\/nachlese-zum-storm-0558-cloud-hack-microsoft-tappt-noch-im-dunkeln\/\">Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2023\/07\/20\/microsoft-stellt-kunden-nach-cisa-intervention-erweitertes-logging-in-der-cloud-bereit\/\">Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2023\/07\/22\/gau-geklauter-aad-schlssel-ermglichte-storm-0558-weitreichenden-zugang-zu-microsoft-cloud-diensten\/\">GAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2024\/01\/20\/microsoft-durch-russische-midnight-blizzard-gehackt-e-mails-seit-nov-2023-ausspioniert\/\">Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2024\/01\/25\/firma-hpe-von-midnight-blizzard-seit-mai-2023-gehackt\/\">Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Microsoft musste nun best\u00e4tigen, dass russischen Cyberspione der Gruppe Midnight Blizzard im Januar 2024 nicht nur Zugriff auf die E-Mail-Konten des Microsoft Managements hatten. Die Angreifer waren zus\u00e4tzlich in der Lage, sich Zugriff auf interne Systeme zu verschaffen und auf &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/03\/09\/microsoft-besttigt-russische-spione-midnight-blizzard-haben-quellcode-beim-zugriff-auf-systeme-gestohlen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-293160","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293160","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=293160"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293160\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=293160"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=293160"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=293160"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}