Microsoft sagte heute, dass es von einem „russischen, staatlich geförderten Akteur“ namens Midnight Blizzard, auch bekannt als Nobelium, gehackt wurde. Dabei handelt es sich um dieselbe Hackergruppe, die im Verdacht steht, für den großen Hackerangriff auf die Lieferkette von SolarWinds im Jahr 2020 verantwortlich zu sein.
„Ab Ende November 2023 nutzte der Bedrohungsakteur einen Passwort-Spray-Angriff, um ein altes, nicht produktives Testmandantenkonto zu kompromittieren und Fuß zu fassen, und nutzte dann die Berechtigungen des Kontos, um auf einen sehr kleinen Prozentsatz der Microsoft-Unternehmens-E-Mail-Konten, einschließlich der Mitglieder, zuzugreifen „Wir haben unser Führungsteam und unsere Mitarbeiter in den Bereichen Cybersicherheit, Recht und anderen Bereichen angegriffen und einige E-Mails und angehängte Dokumente exfiltriert“, schrieb Microsoft.
„Die Untersuchung zeigt, dass sie ursprünglich E-Mail-Konten im Visier hatten, um Informationen im Zusammenhang mit Midnight Blizzard selbst zu erhalten. Wir sind dabei, die Mitarbeiter zu benachrichtigen, auf deren E-Mails zugegriffen wurde.“
Microsoft sagte, es habe den Angriff am 12. Januar entdeckt. Es wurde nicht näher darauf eingegangen, nach welchen Informationen Midnight Blizzard/Nobelium gesucht haben könnte, aber es gibt eine lange Geschichte zwischen den beiden. Im Jahr 2021 veröffentlichte Microsoft nach dem SolarWinds-Hack eine vierteiliger Blog/Videoserie über die Gruppe, die „den Vorhang hinter den NOBELUM-Vorfall zieht und zeigt, wie Weltklasse-Bedrohungsjäger von Microsoft und der Branche zusammenkamen, um den raffiniertesten Nationalstaatsangriff der Geschichte anzugehen.“
Microsoft hat auch eine aktive Rolle bei der Bekämpfung russischer Cyberangriffe gegen die Ukraine übernommen.
„Password Spraying“ ist ein Brute-Force-Angriff, bei dem ein Hacker bekanntermaßen gültige Benutzernamen mit gängigen Passwörtern angreift, in der Hoffnung, dass jemand faul wird und so etwas wie „1234“ verwendet. Automatisierte Systeme werden oft verwendet, um in relativ kurzer Zeit eine große Anzahl von Passwörtern durchzugehen, und es ist schwierig, sich dagegen zu wehren, da sie nicht Schwachstellen in Systemen, sondern in Benutzern ausnutzen.
Von der Website des Online-Sicherheitsunternehmens Anmelderadius:
Hacker können bestimmte Benutzer und Zyklen angreifen, indem sie so viele Passwörter wie möglich aus einem Wörterbuch oder einer bearbeiteten Liste gängiger Passwörter verwenden. Beim Passwort-Spraying handelt es sich nicht um einen gezielten Angriff, sondern um einen böswilligen Akteur, der sich eine Liste von E-Mail-Konten oder Zugriff auf ein Active Directory verschafft und versucht, sich mit einer Liste der wahrscheinlichsten, beliebtesten oder gebräuchlichsten Passwörter bei allen Konten anzumelden Sie bekommen einen Treffer.
Die wichtigste Erkenntnis aus dem Passwort-Spraying besteht darin, dass Benutzerkonten mit alten oder gängigen Passwörtern das schwache Glied darstellen, das Hacker ausnutzen können, um Zugriff auf das Netzwerk zu erhalten. Leider sind Passwort-Spraying-Angriffe häufig erfolgreich, weil so viele Kontobenutzer die besten Passwortschutzpraktiken nicht befolgen oder Bequemlichkeit der Sicherheit vorziehen.
Microsoft sagte im Wesentlichen dasselbe und stellte fest, dass der Angriff „nicht das Ergebnis einer Schwachstelle in Microsoft-Produkten oder -Diensten“ war. Derzeit gibt es keine Hinweise darauf, dass sich Hacker Zugriff auf „Kundenumgebungen, Produktionssysteme, Quellcode oder KI-Systeme“ verschafft haben, und das Unternehmen wird Kunden benachrichtigen, wenn weitere Maßnahmen erforderlich sind.
Selbst wenn dies der Fall ist, wird der Hack Auswirkungen haben: Microsoft sagte, die Verbreitung staatlich geförderter Hacker habe es gezwungen, „das Gleichgewicht, das wir zwischen Sicherheit und Geschäftsrisiko finden müssen“, neu zu bewerten, und dass es sofort „die aktuelle Sicherheit“ anwenden werde Standards für Microsoft-eigene Legacy-Systeme und interne Geschäftsprozesse.
„Dies wird wahrscheinlich zu einer gewissen Störung führen, während wir uns an diese neue Realität anpassen, aber dies ist ein notwendiger Schritt und nur der erste von mehreren, die wir unternehmen werden, um diese Philosophie anzunehmen.“
Microsoft war in den letzten Jahren Gegenstand zahlreicher großer Hackerangriffe. Im Jahr 2021 beschuldigten die USA und andere NATO-Staaten China, Microsoft Exchange Server-Hacks gesponsert zu haben, und im Jahr 2022 führte ein Lapsus$-Angriff zum Diebstahl von Bing- und Cortana-Quellcode. Im Jahr 2023 wurde die Azure-Plattform von einer chinesischen Hackergruppe angegriffen, die sich Zugang zu den E-Mail-Konten der Benutzer verschaffen konnte; Dies veranlasste den Vorstandsvorsitzenden und CEO von Tenable, Amit Yoran, dem Unternehmen ein „wiederholtes Muster fahrlässiger Cybersicherheitspraktiken vorzuwerfen, das chinesische Spionage gegen die US-Regierung ermöglicht hat“.