Microsoft: Midnight Blizzard will erbeutete "Kundengeheimnisse" ausnutzen

Die als Midnight Blizzard bekannte und mutmaßlich vom russischen Auslandsgeheimdienst geförderte Hackergruppe versucht, für ihre Angriffe Informationen zu nutzen, die Kunden per E-Mail an Microsoft gegeben hatten.

Microsoft: Midnight Blizzard will erbeutete "Kundengeheimnisse" ausnutzen

Wie Microsoft am vergangenen Freitag in einem Blog-Post mitteilte, halten die Angriffe der Cyberkriminellen weiter an. In letzter Zeit habe das Unternehmen einen deutlichen Aktivitätsanstieg festgestellt. Nach dem letzten Einbruch in die E-Mail-Konten von Microsoft-Führungskräften, über die CRN im Januar berichtet hatte, sei es nun "offensichtlich, dass Midnight Blizzard versucht, die gefundenen Geheimnisse auszunutzen", schrieb Microsoft. Midnight Blizzard habe das Volumen einiger Angriffsformen, "wie etwa Password Spying im Februar um das Zehnfache dessen erhöht, das wir im Januar 2024 gesehen haben."

Microsoft hatte den Angriff am 19. Januar bekannt gegeben und mitgeteilt, dass die als Midnight Blizzard bekannte Gruppe E-Mails von Mitgliedern des Führungsteams sowie von Mitarbeitenden der Cybersecurity- und Rechtsteams gestohlen habe. Am 26. Januar bestätigte Microsoft dann, dass sich die Gruppe zunächst Zugang verschafft hatte, indem sie die fehlende Multifaktor-Authentifizierung (MFA) bei einem "alten" Konto ausnutzte.

Die Aktivitäten seien in den letzten Wochen fortgesetzt worden. Microsoft habe nun "Beweise dafür, dass Midnight Blizzard Informationen, die ursprünglich aus unseren E-Mail-Systemen exfiltriert wurden, jetzt verwendet, um sich unbefugten Zugang zu verschaffen oder dies zu versuchen", so das Unternehmen.

"Dies beinhaltet den Zugriff auf einige der Quellcode-Repositorien und internen Systeme des Unternehmens", so Microsoft. Bisher habe man allerdings keine Beweise dafür gefunden, dass von Microsoft gehostete Kundensysteme kompromittiert worden sind.

Auch Solarwinds und HP waren schon im Visier

In einer E-Mail an die amerikanischen CRN stellte ein Microsoft-Sprecher Vertreter am Freitag klar, dass es sich bei den im Blog genannten "Geheimnissen" um kryptografische Informationen wie Passwörter, Anmeldedaten, Zertifikate und Schlüssel handelt.

Midnight Blizzard ist seit Jahren aktiv und hatte zuerst mit dem Angriff auf SolarWinds im Jahr 2020 von sich reden gemacht. Die USA und Großbritannien bringen die Gruppe mit dem russischen Auslandsgeheimdienst SWR/SVR in Verbindung. Vor Microsoft hatten die Hacker bereits HP und seine Kunden im Visier.

Microsoft erklärte, dass sie vom Diebstahl betroffene Kunden bei der Ergreifung von Abhilfemaßnahmen nach Kräften unterstützen. Zudem werde es zusätzliche Sicherheitsmaßnahmen geben.