Das Bild zeigt ein Notebook mit russischer Flagge
Microsoft hat nach dem Hackerangriff angekündigt, seine Sicherheitsvorkehrungen durch zusätzliche Kontrollen, Erkennungen und Überwachungen weiter zu verstärken.
Reuters/Kacper Pempel

Dass Microsoft ein großes Problem mit russischen Hackern hat, ist nicht neu: Bereits im Jänner dieses Jahres wurde bekannt, dass sich Hacker mit Verbindungen zur russischen Regierung Zugang zu einigen Mails ranghoher Manager im Konzern verschafft haben. Und daraus offenbar sehr wertvolle Daten erbeuten konnten - denn wie Microsoft in einem Blogeintrag nun zugibt, soll die Gruppe unter der Bezeichnung Midnight Blizzard mittlerweile weitaus mehr Schaden angerichtet haben. Noch schlimmer: Die Angriffe dürften weiter andauern.

Als Microsoft im Januar ursprünglich behauptete, dass keine Kundensysteme oder kritische Infrastrukturen bei dem Angriff beeinträchtigt worden seien, dürfte damals lediglich die Spitze des Eisbergs erkannt worden sein. Neue Erkenntnisse deuten darauf hin, dass die Eindringlinge die gestohlenen Informationen genutzt haben, um sich weiter in das Netzwerk von Microsoft einzuschleichen, was den Zugriff auf einige der Quellcode-Repositories und weitere interne Systeme einschließt.

Tatsächlich war es eine Unachtsamkeit des Konzerns selbst, der den Angriff überhaupt ermöglicht hat: Die Angreifer entdeckten ein altes, schlecht gesichertes Testkonto mit weitreichenden Berechtigungen. Dieses Konto konnte durch die einfache Methode des "password spraying" geknackt werden. Diese Technik beinhaltet das systematische Ausprobieren von häufig verwendeten oder bereits bekannten Passwörtern und deren Variationen. Es handelt sich dabei um eine weiterentwickelte Form des "bruteforcing", bei dem Passwörter mithilfe von Generatoren oder allgemein bekannten Passwortlisten getestet werden.

Es ist nicht vorbei

Microsoft besteht jedenfalls nach wie vor darauf, dass es bisher keine Anzeichen gebe, dass dabei auch Kundensysteme, die von Microsoft gehostet werden, kompromittiert worden sind. Der Konzern bemüht sich nun, mit seinen Kunden in Verbindung zu bleiben und Unterstützung bei der Implementierung von Gegenmaßnahmen zu leisten. Diese proaktive Kommunikation ist natürlich Teil der Bemühungen des Unternehmens, die durch den Diebstahl verursachten Schäden zu minimieren.

Wie der Konzern selbst zugibt, sei es allerdings offensichtlich, dass die Hackergruppe nach wie vor versuche, die gestohlenen "Geheimnisse" zu nutzen, um an weitere Daten zu gelangen. "Midnight Blizzard hat das Volumen einiger Aspekte des Angriffs, wie zum Beispiel Passwortsprays, im Februar verzehnfacht - im Vergleich zu dem bereits hohen Volumen, das wir im Januar 2024 gesehen haben", heißt es in der offiziellen Mitteilung.

Zwar hat Microsoft angekündigt, seine Sicherheitsvorkehrungen durch zusätzliche Kontrollen, Erkennungen und Überwachungen weiter zu verstärken. Es bleibt allerdings abzuwarten, inwieweit diese Maßnahmen den Schutz wirklich verbessern können. Die laufenden Untersuchungen zu den Aktivitäten von Midnight Blizzard sind noch nicht abgeschlossen - und die volle Tragweite der Bedrohung ist somit auch nicht vollständig erfasst. Ernsthafte Bedenken sind nicht unberechtigt, ob Microsoft in der Lage sein wird, sich effektiv gegen diese und zukünftige Cyberbedrohungen zu verteidigen und die Sicherheit seiner Kunden und deren Daten zu gewährleisten. (bbr, 10.3.2024)