Microsoft informiert weitere Kunden über gehackte E-Mails
Microsoft hat Berichten zufolge weitere Benachrichtigungen an Kunden verschickt, die von der Kompromittierung des E-Mail-Systems des Unternehmens durch den russischen Bedrohungsakteur Midnight Blizzard betroffen sind.
Nach Angaben der Nachrichtenagentur Bloomberg hat der Tech-Gigant seine Kunden darüber informiert, dass ihre E-Mails im Zusammenhang mit dem Angriff, den Microsoft im Januar bekannt gegeben hatte, eingesehen wurden. Microsoft schreibt den Angriff der nationalistischen Gruppe Midnight Blizzard zu, die von der US-Regierung mit dem russischen Auslandsgeheimdienst SVR in Verbindung gebracht wird.
Teile des Textes der von Bloomberg geteilten Benachrichtigung stimmen mit einer Nachricht auf einer Microsoft.com-Supportseite überein, die offenbar von einem betroffenen Kunden gepostet wurde. Die Nachricht ist auf Dienstag datiert, zwei Tage vor Bloombergs Bericht.
"Sie erhalten diese Benachrichtigung, weil E-Mails zwischen Microsoft und Konten in Ihrem Unternehmen ausgetauscht wurden und der Bedrohungsakteur Midnight Blizzard im Rahmen seines Cyberangriffs auf Microsoft auf diese E-Mails zugegriffen hat", heißt es in der Microsoft-Benachrichtigung laut Support-Website und Bloomberg-Bericht.
"Im Rahmen unserer Verpflichtung zur Transparenz geben wir diese E-Mails proaktiv weiter", heißt es in der Benachrichtigung, die auf der Support-Website veröffentlicht wurde. "Wir haben ein sicheres System entwickelt, das es den zugelassenen Mitgliedern Ihrer Organisation ermöglicht, die exfiltrierten E-Mails zwischen Microsoft und Ihrem Unternehmen einzusehen".
In einer Erklärung, die CRN am Freitag zur Verfügung gestellt wurde, bestätigte Microsoft, dass "wir in dieser Woche die Benachrichtigungen an Kunden fortsetzen, die mit Microsoft-Unternehmens-E-Mail-Konten korrespondiert haben, die vom Midnight Blizzard-Bedrohungsakteur exfiltriert wurden. Wir stellen den Kunden die E-Mail-Korrespondenz zur Verfügung, auf die dieser Akteur Zugriff hatte," erklärt Microsoft CRN.
"Dies ist eine erweiterte Information für Kunden, die bereits benachrichtigt wurden, und beinhaltet auch neue Benachrichtigungen", so das Unternehmen in der Erklärung.
Zu den Kunden, von denen bekannt ist, dass sie von dem Vorfall betroffen waren, gehören mehrere Bundesbehörden, wie die U.S. Cybersecurity and Infrastructure Security Agency (CISA) zuvor bestätigte.
"Durch die Kompromittierung von Microsoft-Unternehmens-E-Mail-Konten hat Midnight Blizzard die E-Mail-Korrespondenz zwischen zivilen Bundesbehörden (Federal Civilian Executive Branch, FCEB) und Microsoft exfiltriert", so die CISA in einer früheren Notfallanweisung.
"Der Bedrohungsakteur nutzt Informationen, die ursprünglich aus den E-Mail-Systemen des Unternehmens exfiltriert wurden, einschließlich Authentifizierungsdaten, die zwischen Microsoft-Kunden und Microsoft per E-Mail ausgetauscht wurden, um sich zusätzlichen Zugang zu Microsoft-Kundensystemen zu verschaffen bzw. zu versuchen, sich diesen zu verschaffen", so die CISA in der Richtlinie.
Der Einbruch, der vermutlich im November 2023 begann, betraf zunächst Mitglieder der Microsoft-Führungsriege sowie Mitarbeiter der Teams für Cybersicherheit und Recht. Nach Angaben des Unternehmens verschafften sich die Hacker zunächst Zugang, indem sie die fehlende Multifaktor-Authentifizierung (MFA) für ein "altes" Konto ausnutzten.
In einem Update zu dem Vorfall Anfang März teilte Microsoft mit, dass Midnight Blizzard beobachtet wurde, wie es weiterhin versuchte, die bei dem Angriff gesammelten Informationen zu nutzen. Die Bedrohungsgruppe wurde bereits früher für Angriffe verantwortlich gemacht, darunter auch für den weithin wahrgenommenen Einbruch bei Solarwinds im Jahr 2020.
Die Ausweitung der Kundenbenachrichtigungen im Zusammenhang mit der E-Mail-Panne in Russland folgt auf den vernichtenden Bericht über Microsofts Sicherheitskultur und -praktiken, den das von der US-Heimatschutzbehörde eingesetzte Cyber Safety Review Board im April veröffentlichte.
Das Gremium veröffentlichte den 34-seitigen Bericht über den letztjährigen Microsoft Exchange Online-Einbruch, der mit China in Verbindung gebracht wurde und mehrere Bundesbehörden und Beamte, darunter Handelsministerin Gina Raimondo, betraf. Der Prüfungsausschuss machte eine "Kaskade vermeidbarer Fehler von Microsoft" für den Cloud-E-Mail-Verstoß verantwortlich.