Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat bestätigt, dass von der russischen Regierung unterstützte Hacker infolge eines laufenden Cyberangriffs auf Microsoft E-Mails von mehreren US-Bundesbehörden gestohlen haben.
In einer am Donnerstag veröffentlichten Erklärung sagte die US-Cyberagentur, dass der Cyberangriff, den Microsoft erstmals im Januar offengelegt hatte, es den Hackern ermöglicht habe, E-Mails der Bundesregierung zu stehlen, „durch eine erfolgreiche Kompromittierung der E-Mail-Konten von Microsoft-Unternehmen“.
Es wird allgemein angenommen, dass die Hacker, die Microsoft „Midnight Blizzard“ nennt und auch als APT29 bekannt ist, für den russischen Auslandsgeheimdienst SVR arbeiten.
„Midnight Blizzards erfolgreiche Kompromittierung der E-Mail-Konten von Microsoft-Unternehmen und die Ausschleusung der Korrespondenz zwischen Behörden und Microsoft stellen ein ernstes und inakzeptables Risiko für Behörden dar“, sagte CISA.
Das teilte die Cyber-Bundesbehörde mit hat eine neue Notfallrichtlinie erlassen Am 2. April forderte sie zivile Regierungsbehörden auf, Maßnahmen zur Sicherung ihrer E-Mail-Konten zu ergreifen, basierend auf neuen Informationen darüber, dass die russischen Hacker ihre Eingriffe verstärkten. Die CISA veröffentlichte am Donnerstag Einzelheiten der Notfallrichtlinie, nachdem sie den betroffenen Bundesbehörden eine Woche Zeit gegeben hatte, um Passwörter zurückzusetzen und betroffene Systeme zu sichern.
CISA nannte nicht die betroffenen Bundesbehörden, deren E-Mails gestohlen wurden, und ein Sprecher von CISA äußerte sich nicht sofort, als er von Tech erreicht wurde.
Die Nachricht von der Notfallrichtlinie war erstmals letzte Woche von Cyberscoop gemeldet.
Die Dringlichkeitsrichtlinie kommt zu einem Zeitpunkt, zu dem Microsoft seine Sicherheitspraktiken nach einer Flut von Einbrüchen durch Hacker aus gegnerischen Nationen zunehmend unter die Lupe nimmt. Die US-Regierung ist beim Hosten staatlicher E-Mail-Konten stark auf den Softwareriesen angewiesen.
Microsoft an die Öffentlichkeit gegangen im Januar, nachdem festgestellt wurde, dass die russische Hackergruppe in einige Unternehmens-E-Mail-Systeme eingebrochen war, darunter die E-Mail-Konten von „leitenden Führungsteams und Mitarbeitern in unseren Bereichen Cybersicherheit, Recht und anderen Funktionen“. Microsoft sagte, die russischen Hacker suchten nach Informationen darüber, was Microsoft und seine Sicherheitsteams über die Hacker selbst wussten. Später sagte der Technologieriese, dass die Hacker auch andere Organisationen außerhalb von Microsoft ins Visier genommen hätten.
Nun ist bekannt, dass zu den betroffenen Organisationen auch US-Regierungsbehörden gehörten.
Im März gab Microsoft bekannt, dass es seine Bemühungen fortsetze, die russischen Hacker von seinen Systemen zu vertreiben, was das Unternehmen als „anhaltenden Angriff“ bezeichnete. In ein BlogbeitragLaut Angaben des Unternehmens versuchten die Hacker, zunächst gestohlene „Geheimnisse“ zu nutzen, um auf andere interne Microsoft-Systeme zuzugreifen und weitere Daten, beispielsweise Quellcode, auszuschleusen.
Auf die Frage von Tech am Donnerstag, welche Fortschritte das Unternehmen bei der Behebung des Angriffs seit März gemacht habe, äußerte sich Microsoft nicht sofort.
Anfang dieses Monats hat das US Cyber Safety Review Board (CSRB) schloss seine Untersuchung ab eines früheren Verstoßes gegen E-Mails der US-Regierung im Jahr 2023, der von der chinesischen Regierung unterstützten Hackern zugeschrieben wird. Das CSRB, ein unabhängiges Gremium, dem Regierungsvertreter und Cyber-Experten aus dem privaten Sektor angehören, machte eine „Kaskade von Sicherheitsmängeln bei Microsoft“ verantwortlich. Dadurch konnten die von China unterstützten Hacker einen sensiblen E-Mail-Schlüssel stehlen, der einen umfassenden Zugriff auf E-Mails von Verbrauchern und Behörden ermöglichte.
Im Februar informierte das US-Verteidigungsministerium 20.000 Personen darüber, dass ihre persönlichen Daten im Internet offengelegt wurden, nachdem ein von Microsoft gehosteter Cloud-E-Mail-Server im Jahr 2023 mehrere Wochen lang ohne Passwort blieb.