Am Freitag gab Microsoft bekannt, dass das Unternehmen Opfer eines Hackerangriffs russischer Regierungsspione geworden sei. Nun, eine Woche später, erklärte der Technologieriese, dass er nicht das einzige Ziel der Spionageoperation sei.
In einem neuen BlogbeitragMicrosoft sagte, dass „derselbe Akteur andere Organisationen ins Visier genommen hat und wir im Rahmen unserer üblichen Benachrichtigungsprozesse damit begonnen haben, diese Zielorganisationen zu benachrichtigen.“
Zum jetzigen Zeitpunkt ist unklar, auf wie viele Organisationen die von Russland unterstützten Hacker abzielten.
Kontaktiere uns
Haben Sie weitere Informationen zu diesem Hack? Wir würden uns freuen, von Ihnen zu hören. Von einem nicht am Arbeitsplatz befindlichen Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Telegram, Keybase und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.
Ein Microsoft-Sprecher reagierte nicht auf eine Bitte um Stellungnahme und forderte das Unternehmen auf, eine bestimmte Anzahl der bisher gemeldeten Opfer anzugeben.
Microsoft identifizierte die Hacker als die Gruppe, die es anruft Mitternachtssturm. Es wird allgemein angenommen, dass diese Gruppe für den russischen Auslandsgeheimdienst SVR arbeitet. Andere Sicherheitsfirmen rufen die Gruppe an APT29 und Cozy Bear.
Microsoft sagte, es habe den Einbruch am 12. Januar entdeckt und dann festgestellt, dass die Hacking-Kampagne Ende November begann, als die Hacker einen „Passwort-Spray-Angriff“ auf ein Altsystem nutzten, auf dem die Multi-Faktor-Authentifizierung nicht aktiviert war. Beim Passwort-Spraying handelt es sich um Hacker Versuchen Sie, sich mit Brute-Force Zugriff auf Konten zu verschaffen Verwendung häufig verwendeter Passwörter oder einer größeren Liste von Passwörtern aus vergangenen Datenschutzverletzungen.
„Der Täter hat seine Passwort-Spray-Angriffe auf eine begrenzte Anzahl von Konten zugeschnitten und dabei eine geringe Anzahl von Versuchen eingesetzt, um der Erkennung zu entgehen und Kontosperrungen basierend auf der Anzahl der Fehler zu vermeiden“, schrieb Microsoft in seinem neuesten Blogbeitrag. „Der Bedrohungsakteur reduzierte die Wahrscheinlichkeit einer Entdeckung weiter, indem er diese Angriffe von einer verteilten privaten Proxy-Infrastruktur aus startete. Diese Umgehungstechniken trugen dazu bei, dass der Täter seine Aktivitäten verschleierte und den Angriff über einen längeren Zeitraum hinweg fortsetzen konnte, bis er erfolgreich war.“
Nachdem die von Russland unterstützten Hacker Zugang zu einem Konto auf diesem Altsystem erlangt hatten, „nutzten sie die Berechtigungen des Kontos, um auf einen sehr kleinen Prozentsatz der E-Mail-Konten von Microsoft-Unternehmen zuzugreifen“, so Microsoft, das jedoch noch nicht angegeben hat, wie viele E-Mail-Konten kompromittiert wurden .
Microsoft sagte jedoch, dass die Hacker gezielt die leitenden Angestellten des Unternehmens sowie Personen in den Bereichen Cybersicherheit, Recht und anderen Abteilungen ins Visier genommen hätten. Den Hackern sei es gelungen, „einige E-Mails und angehängte Dokumente“ zu stehlen.
Kurioserweise waren die Hacker daran interessiert, Informationen über sich selbst herauszufinden, insbesondere daran, was Microsoft über sie weiß, sagte das Unternehmen.
Am Donnerstag gab Hewlett Packard Enterprise (HPE) bekannt, dass sein von Microsoft gehostetes E-Mail-System von Midnight Blizzard gehackt wurde. HPE sagte, es sei am 12. Dezember über den Verstoß informiert worden – ohne zu sagen, von wem. Das Unternehmen gab an, dass die Hacker nach eigenen Angaben ab Mai 2023 „auf Daten aus einem „kleinen Prozentsatz“ der HPE-Postfächer zugegriffen und diese exfiltriert hätten.
Es ist unklar, wie und ob dieser Verstoß mit der Spionagekampagne der Hacker gegen Microsoft zusammenhängt, da HPE sagte, der Vorfall stehe im Zusammenhang mit einem früheren Einbruch, bei dem dieselben Hacker „eine begrenzte Anzahl von SharePoint-Dateien“ aus seinem Netzwerk herausgefiltert hätten.
„Uns liegen keine Einzelheiten des Vorfalls vor, den Microsoft erlebt und letzte Woche offengelegt hat, daher können wir die beiden derzeit nicht miteinander in Verbindung bringen“, sagte HPE-Sprecher Adam R. Bauer gegenüber Tech.