„Massives Sicherheitsproblem“: Phishing-Angriffe auf Teams
Eine russische Hackergruppe hat über die Microsoft-Plattform Teams weltweit dutzende Organisationen ins Visier genommen, melden zahlreiche Medien. Die Angreifer nutzten bereits kompromittierte Microsoft-365-Konten von kleinen Unternehmen, um sich über neue Domains der Firmen als technischer Support von Microsoft auszugeben. Die Hacker gaben sich als technischer Support von Microsoft aus und nahmen weltweit dutzende Organisationen ins Visier, um Anmeldedaten zu erbeuten. Mit einem gestohlenen Sicherheitsschlüssel verschafften sich Angreifer Zugriff auf die Microsoft-Cloud und dazugehörige Dienste. Die Folgen des Diebstahls sind massiv.
Anonymus: Maske, afrikanisch – Foto © Gerhard Hofmann, Agentur Zukunft, für Solarify
Mirosoft: „Midnight Blizzard führt gezieltes Social Engineering über Microsoft Teams durch“
„Microsoft Threat Intelligence hat gezielte Social-Engineering-Angriffe identifiziert, bei denen Phishing-Köder zum Diebstahl von Anmeldeinformationen als Microsoft-Teams-Chats von dem Bedrohungsakteur versendet werden, den Microsoft als Midnight Blizzard (zuvor als NOBELIUM) verfolgt. Dieser jüngste Angriff zeigt zusammen mit den vergangenen Aktivitäten, dass Midnight Blizzard seine Ziele mit neuen und bekannten Techniken verfolgt. Bei dieser jüngsten Aktivität nutzt der Bedrohungsakteur zuvor kompromittierte Microsoft 365-Tenants, die kleinen Unternehmen gehören, um neue Domains zu erstellen, die als technische Support-Einheiten erscheinen. Midnight Blizzard nutzt diese Domänen von kompromittierten Tenants, um über Teams-Nachrichten Köder zu versenden, mit denen versucht wird, Anmeldeinformationen von einem Zielunternehmen zu stehlen, indem ein Benutzer dazu gebracht wird, einer Aufforderung zur multifaktoriellen Authentifizierung (MFA) zuzustimmen. Wie bei allen Social-Engineering-Ködern empfehlen wir Unternehmen, alle Benutzer auf bewährte Sicherheitspraktiken hinzuweisen und ihnen klar zu machen, dass alle Authentifizierungsanfragen, die nicht vom Benutzer initiiert wurden, als böswillig betrachtet werden sollten. Unsere derzeitigen Untersuchungen zeigen, dass weniger als 40 Organisationen weltweit von dieser Kampagne betroffen waren. Die Organisationen, auf die Midnight Blizzard abzielt, deuten wahrscheinlich auf spezifische Spionageziele von Midnight Blizzard hin, die auf Regierungen, Nichtregierungsorganisationen (NGOs), IT-Dienstleistungen, Technologie, diskrete Fertigung und die Medienbranche ausgerichtet sind. Microsoft hat den Akteur von der Nutzung der Domänen abgehalten und wird diese Aktivität weiter untersuchen und an der Behebung der Auswirkungen des Angriffs arbeiten. Wie bei allen beobachteten Aktivitäten staatlicher Akteure hat Microsoft die betroffenen Kunden direkt benachrichtigt und ihnen wichtige Informationen zur Verfügung gestellt, damit sie ihre Umgebungen schützen können. Midnight Blizzard (NOBELIUM) ist ein in Russland ansässiger Bedrohungsakteur, der von den Regierungen der USA und des Vereinigten Königreichs dem Auslandsgeheimdienst der Russischen Föderation, auch bekannt als SVR, zugeordnet wird. Es ist bekannt, dass dieser Bedrohungsakteur in erster Linie Regierungen, diplomatische Einrichtungen, Nichtregierungsorganisationen (NRO) und IT-Dienstleister vor allem in den USA und Europa ins Visier nimmt. Ihr Schwerpunkt liegt auf der Sammlung von Informationen durch langjährige und gezielte Spionage ausländischer Interessen, die bis Anfang 2018 zurückverfolgt werden kann. Bei ihren Operationen werden häufig gültige Konten kompromittiert, und in einigen sehr gezielten Fällen werden fortgeschrittene Techniken eingesetzt, um Authentifizierungsmechanismen innerhalb einer Organisation zu kompromittieren, um den Zugang zu erweitern und die Entdeckung zu umgehen. Midnight Blizzard geht konsequent und hartnäckig vor, und seine Ziele ändern sich selten. Midnight Blizzard (NOBELIUM) wird von Partner-Sicherheitsanbietern als APT29, UNC2452 und Cozy Bear identifiziert. Midnight Blizzard setzt regelmäßig Token-Diebstahltechniken für den Erstzugang zu Zielumgebungen ein, zusätzlich zu Authentifizierungs-Spearphishing, Passwort-Spray, Brute-Force- und anderen Angriffen auf Zugangsdaten. Zur Erleichterung des Angriffs verwendet der Akteur Microsoft 365-Tenants, die kleinen Unternehmen gehören, die er in früheren Angriffen kompromittiert hat, um seinen Social-Engineering-Angriff zu hosten und zu starten. Der Akteur benennt den kompromittierten Tenant um, fügt eine neue onmicrosoft.com-Subdomäne hinzu und fügt dann einen neuen Benutzer hinzu, der mit dieser Domäne verbunden ist und von dem aus die ausgehende Nachricht an den Ziel-Tenant gesendet wird. Der Angreifer verwendet Schlüsselwörter, die sich auf Sicherheit oder Produktnamen beziehen, um eine neue Subdomäne und einen neuen Mandantennamen zu erstellen, um den Nachrichten Legitimität zu verleihen. Diese vorbereitenden Angriffe zur Kompromittierung legitimer Azure-Tenants und die Verwendung von gleichlautenden Domainnamen in Social-Engineering-Ködern sind Teil unserer laufenden Untersuchung. Microsoft hat dem Akteur die Verwendung dieser Domains untersagt. Bei dieser Aktivität hat Midnight Blizzard entweder gültige Kontoanmeldedaten für die anvisierten Benutzer erlangt, oder sie zielen auf Benutzer ab, für deren Konto eine kennwortlose Authentifizierung konfiguriert ist – in beiden Fällen muss der Benutzer einen Code eingeben, der während des Authentifizierungsvorgangs in der Eingabeaufforderung der Microsoft Authenticator-App auf seinem Mobilgerät angezeigt wird.“
Welche Microsoft-Dienste sind betroffen? Das Sicherheitsunternehmen Wiz warnt nach Analyse des Sicherheitsschlüssels, dass alle Anwendungen betroffen seien, die eine persönliche Kontoauthentifizierung erfordern. Das sind unter anderem Outlook, Sharepoint, Office365, Teams, Onedrive und Drittanwendungen, die von der Funktionalität „Login-with Microsoft“ Gebrauch machen.Diese versendeten dann Phishing-Nachrichten über Teams, um über Chats mit den Nutzern an deren Multi-Faktor-Authentifizierungsdaten (MFA) zu gelangen. Die Nutzung der gefälschten Support-Domains wurde von Microsoft bereits unterbunden. Die „sehr gezielten“ Angriffe hätten seit Ende Mai „weniger als 40 einzelne globale Organisationen“ betroffen, sagte Microsoft. Das Unternehmen kündigte eine Untersuchung des Vorfalls an. Die russische Botschaft in Washington reagierte zunächst nicht auf eine Reuters-Anfrage.
Mitte Juni konnten damit Zugriffe auf Mails amerikanischer und europäischer Regierungsbehörden nachgewiesen werden. Microsoft gab auch eine entsprechende Warnung heraus. Weil aber mit dem entwendeten Sicherheitsschlüssel Zugangsberechtigungen für alle Cloud-Dienste von Microsoft erstellt werden können, sind auch prinzipiell alle Kunden der Microsoft-Cloud und ihrer Services betroffen.
Da alle Anwender von Cloud-Diensten Microsofts betroffen sein können, gehören auch Privatanwender zum Kreis der potenziell Geschädigten. Die Analysen von Wiz haben Tools zusammengestellt, wie überprüft werden kann, ob eigene Anwendungen betroffen sind. Allerdings setzen diese Tools trotz rezeptartiger Tipps einiges an programmtechnischem Know-how voraus.
Gruppe Midnight Blizzard
Die Hackergruppe ist in der Branche als Midnight Blizzard oder APT29 bekannt. Sie hat nach Angaben von Microsoft ihren Sitz in Russland und wird von den Regierungen Großbritanniens und der USA mit russischen Geheimdiensten in Verbindung gebracht. Midnight Blizzard sei dafür bekannt, seit 2018 solche Organisationen anzugreifen – vor allem in den USA und Europa. MFAs sind eine weithin empfohlene Sicherheitsmaßnahme, um Hackerangriffe oder den Diebstahl von Anmeldedaten zu verhindern. Microsoft hat der Hackertruppe den Namen „Storm-0558“ gegeben. Nach allen, was bisher an Indizien vorliegt, stecken chinesische Angreifer hinter „Strom-0558“. Sicherheitsexperten aus der Höchstleistungsrechnerbranche haben sie im Juni 2023 auf der Internationalen Supercomputerkonferenz in Hamburg als Vorfeldorganisation der dritten technischen Abteilung der chinesischen Volksbefreiungsarmee bezeichnet.
->Quellen:
- zdf.de/microsoft-outlook-sicherheitsschluessel-diebstahl-hacker
- derstandard.de/russische-hacker-laut-microsoft-hinter-phishing-angriffen-auf-teams
- microsoft.com/midnight-blizzard-conducts-targeted-social-engineering-over-microsoft-teams
- berliner-zeitung.de/phishing-angriffe-auf-microsoft-teams-nutzer-russische-hacker-von-midnight-blizzard-unter-verdacht