Microsoft gab bekannt, dass es kürzlich eine Hackergruppe namens Storm-0558 blockiert hat, die auf E-Mail-Konten von rund 25 Organisationen, darunter auch Regierungsbehörden, zugegriffen hat.
Wie Hacker Zugang zu E-Mail-Konten erlangten
In einem Blogbeitrag sagte Microsoft, dass man am 16. Juni mit der Untersuchung ungewöhnlicher Aktivitäten in einigen E-Mail-Konten begonnen habe, nachdem es von Kunden benachrichtigt worden sei.
Die Untersuchung ergab, dass die Hackergruppe ab dem 15. Mai eine Sicherheitslücke ausnutzte, um Authentifizierungstoken zu fälschen und sich Zugang zu den Microsoft 365-Konten von Unternehmen zu verschaffen.
Mithilfe eines kompromittierten Signaturschlüssels für Microsoft-Verbraucherkonten konnten sich die Hacker als Benutzer ausgeben und über Dienste wie Outlook Web Access und Outlook.com auf E-Mail-Konten zugreifen.
Laut einer aktuellen gemeinsamen Empfehlung der Cybersecurity and Infrastructure Security Agency (CISA) und des FBI hat die Bundesbehörde verdächtige Aktivitäten in ihren Microsoft 365-Protokollen festgestellt.
Dies führte zu der Entdeckung, dass hochentwickelte, persistente Bedrohungsakteure auf Daten aus einigen Exchange Online Outlook-Konten zugegriffen und diese herausgefiltert hatten.
Was ist Storm-0558?
Laut Microsofts Akteursprofil von Storm-0558 lautet die Beschreibung der Gruppe wie folgt:
Storm-0558 (DEV-0558) ist eine nationalstaatliche Aktivitätsgruppe mit Sitz in China. Sie konzentrieren sich auf Spionage, Datendiebstahl und Zugang zu Anmeldeinformationen. Es ist auch bekannt, dass sie für den Zugriff auf Anmeldeinformationen benutzerdefinierte Malware verwenden, die Microsoft als Cigril und Bling verfolgt.
Wie das Problem gelöst wurde
CISA und das FBI haben Organisationen, die Exchange Online nutzen, geraten, eine verbesserte Überwachung und Protokollierung zu implementieren, um ähnliche Angriffe zu erkennen.
Zu ihren Empfehlungen gehört die Aktivierung erweiterter Audit-Protokollierungsfunktionen und die Erlangung von Einblick in standardmäßige Cloud-Verkehrsmuster.
Microsoft behauptet, das Problem vollständig gelöst und den Zugriff der Hacker blockiert zu haben. Das Unternehmen arbeitet mit betroffenen Kunden zusammen und hat sie vor der Veröffentlichung benachrichtigt.
Das Unternehmen sagte, es habe keine Beweise dafür gefunden, dass sich die Hacker in den Systemen des Unternehmens befanden.
Eindämmung zukünftiger Cyberangriffe
Diese jüngste Aktivität kommt zu einem Zeitpunkt, an dem Cyberangriffe gegen Unternehmen auf der ganzen Welt weiter zunehmen.
US-Senator Mark R. Warner, Vorsitzender des Geheimdienstausschusses des Senats, äußerte sich besorgt über die Berichte über den jüngsten Cyberangriff und darüber, was nötig sei, um künftige Vorfälle zu verhindern.
„Der Geheimdienstausschuss des Senats beobachtet aufmerksam, was offenbar eine erhebliche Cybersicherheitsverletzung durch den chinesischen Geheimdienst darstellt. Es ist klar, dass die Volksrepublik China ihre Cyber-Sammelkapazitäten gegen die USA und unsere Verbündeten stetig verbessert. Eine enge Abstimmung zwischen der US-Regierung und dem Privatsektor wird entscheidend sein, um dieser Bedrohung entgegenzuwirken.“
Microsoft plant, die Sicherheit rund um Kontoschlüssel und Token weiter zu verbessern, um den sich entwickelnden Cyberrisiken immer einen Schritt voraus zu sein.
Es betonte die Notwendigkeit einer kontinuierlichen Zusammenarbeit und Transparenz, um die Abwehrkräfte in der gesamten Technologiebranche gegen raffinierte Hacking-Kampagnen zu stärken.
Ausgewähltes Bild: Koshiro K/Shutterstock