Russische Hacker stehlen Mails von Microsoft- Führungskräften
Microsoft räumt ein, dass E-Mails seiner Führungskräfte der Cybersecurity- und der Rechtsabteilung gestohlen wurden. Kundendaten sollen nicht betroffen sein.
Wie Microsoft vergangenen Freitag einräumte, soll ein russischer Hacker E-Mails von Mitgliedern des Führungsteams von Microsoft sowie von Mitarbeitern der Cybersecurity- und des Rechtsabteilung gestohlen haben. Der Tech-Gigant schreibt den Angriff einer Gruppe zu, die er als Midnight Blizzard und zuvor als Nobelium identifiziert hatte. Es handele sich laut Microsoft um dieselben Kriminellen, die für den Angriff auf Solarwinds im Jahr 2020 verantwortlich gewesen sein sollen.
Die Namen der Microsoft-Führungskräfte, deren Konten betroffen waren, wurden nicht bekannt gegeben. In einer Mitteilung vom Freitag erklärte Microsoft, dass der Vorfall mit einem Passwort-Spy-Angriff Ende November 2023 begann, bei dem ein "Legacy-Nicht-Produktionstest-Mieterkonto" kompromittiert wurde.
Die Angreifer nutzten dann die Berechtigungen des kompromittierten Kontos, um "auf einen sehr kleinen Prozentsatz von Microsoft-Unternehmens-E-Mail-Konten zuzugreifen, darunter Mitglieder unseres Senior Leadership-Teams und Mitarbeiter in unseren Cybersecurity- und Rechtsabteilungen sowie Personen in anderen Funktionen. Es wurden einige E-Mails und angehängte Dokumente exfiltriert", so Microsoft.
Microsoft sagte, dass sein Sicherheitsteam die Kompromittierung aufgedeckt habe, "nachdem es am 12. Januar 2024 einen Angriff eines Nationalstaates auf unsere Unternehmenssysteme entdeckt hat". Das Sicherheitsteam versuchte umgehend den Angriff zu entschärfen und dem Bedrohungsakteur weiteren Zugang zu verweigern.
In einer Erklärung, die CRN am Freitag zur Verfügung gestellt wurde, sagte Microsoft, dass es "bis heute keine Beweise dafür gibt, dass der Bedrohungsakteur Zugang zu Kundenumgebungen, Produktionssystemen, Quellcode oder KI-Systemen hatte." Zudem erklärte das Unternehmen: "Der Angriff war nicht das Ergebnis einer Schwachstelle in Microsoft-Produkten oder -Diensten", so das Unternehmen in der Erklärung weiter.
Untersuchung wird fortgesetzt
In einer Mitteilung an die US-Börsenaufsichtsbehörde vom Freitag erklärte Microsoft, dass der Zugriff des Angreifers auf die E-Mail-Konten von Microsoft-Führungskräften und -Mitarbeitern "am oder um den 13. Januar" entfernt worden sei.
"Wir untersuchen die Informationen, auf die zugegriffen wurde, um die Auswirkungen des Vorfalls zu bestimmen", so Microsoft in der Mitteilung. "Außerdem untersuchen wir weiterhin das Ausmaß des Vorfalls". Bis Freitag hat Microsoft "noch nicht festgestellt, ob der Vorfall mit hinreichender Wahrscheinlichkeit wesentliche Auswirkungen auf die Finanzlage oder das Betriebsergebnis des Unternehmens haben wird", so Microsoft in der SEC-Einreichung.
2023 Cloud-E-Mail-Verletzung
Der Vorfall folgt auf den vergangenes Jahr öffentlichkeitswirksamen Einbruch in Microsoft Cloud-E-Mail-Konten, die mehreren US-Regierungsbehörden gehören. Der Angriff, der im Juni 2023 entdeckt wurde, betraf vermutlich die E-Mails von Handelsministerin Gina Raimondo sowie des US-Botschafters in China, Nicholas Burns, und von Beamten des Handelsministeriums. Berichten zufolge wurden insgesamt 60.000 E-Mails von 10 Konten des US-Außenministeriums gestohlen.
Der Vorfall veranlasste den US-Senator Ron Wyden, eine bundesweite Untersuchung zu beantragen, um festzustellen, "ob laxe Sicherheitspraktiken von Microsoft" zu dem Hack geführt haben, und führte auch zu Kritik von zahlreichen prominenten Führungskräften in der Sicherheitsbranche.
Im September gab Microsoft schließlich bekannt, dass eine Reihe von Problemen es dem mit China in Verbindung stehenden Bedrohungsakteur - der als "Storm-0558" bezeichnet wird - ermöglichte, die Cloud-E-Mail-Konten von US-Beamten zu kompromittieren. Dazu gehörte eine Schwachstelle, die dazu führte, dass ein Azure Active Directory-Schlüssel, der bei der Kompromittierung verwendet wurde, nach einem Windows-Systemabsturz im Jahr 2021 nicht ordnungsgemäß erfasst und in einer Datei gespeichert wurde. Ein weiterer Fehler führte dazu, dass das Vorhandensein des Schlüssels nicht erkannt wurde, so Microsoft.
Darüber hinaus konnte der Bedrohungsakteur, der hinter der Sicherheitsverletzung stand, nur auf die Datei zugreifen, die den Schlüssel enthielt, indem er ein Unternehmenskonto kompromittierte, das einem Microsoft-Ingenieur gehörte, so das Unternehmen.