Jens Asbjørn Bøgen
Das Technologieunternehmen warnte, dass die Hacker weiterhin Systeme ins Visier nehmen würden, auf denen das nach dem Angriff veröffentlichte Sicherheitsupdate nicht installiert wurde.
Das Technologieunternehmen warnte, dass die Hacker weiterhin Systeme ins Visier nehmen würden, auf denen das nach dem Angriff veröffentlichte Sicherheitsupdate nicht installiert wurde.
Was ist passiert?
Microsoft hat bestätigt, dass staatlich unterstützte chinesische Hackergruppen Schwachstellen in der lokal betriebenen SharePoint-Software ausgenutzt und dabei vertrauliche Geschäftsdaten kompromittiert haben.
Das Unternehmen betonte, dass seine Cloud-Dienste von dem Angriff nicht betroffen waren.
Drei Bedrohungsgruppen hinter dem Angriff
Der Cyberangriff wird drei Gruppen zugeschrieben: Linen Typhoon, Violet Typhoon und Storm-2603.
Während die ersten beiden mutmaßlich staatlich von China unterstützt werden, gilt bei Storm-2603 laut BBC mit „mittlerer Zuversicht“, dass auch diese Gruppe aus China stammt.
Dringende Sicherheitsupdates veröffentlicht
Als Reaktion auf den Angriff hat Microsoft dringend erforderliche Sicherheitsupdates veröffentlicht und alle Unternehmen mit lokal betriebenen SharePoint-Servern aufgefordert, die Patches umgehend zu installieren.
Ungepatchte Systeme bleiben weiterhin gefährdet, warnte das Unternehmen.
Weitere Ausnutzungen werden untersucht
Microsoft teilte mit, dass noch untersucht werde, ob auch andere Bedrohungsakteure dieselben Schwachstellen ausnutzen.
Zusätzliche Erkenntnisse sollen fortlaufend im offiziellen Blog des Unternehmens veröffentlicht werden.
Angriff zielte auf Verschlüsselungsmaterial ab
Laut Microsoft verschickten die Angreifer bösartige Anfragen an anfällige SharePoint-Server, um sogenanntes „Schlüsselmaterial“ – kryptografische Daten, die ihnen langfristigen Zugang zu sensiblen Informationen verschaffen – zu stehlen.
Weltweite Auswirkungen auf verschiedene Branchen
Charles Carmakal von Mandiant Consulting (Google Cloud) sagte der BBC, dass die Opfer aus unterschiedlichen Branchen und Regionen stammen.
Betroffen seien sowohl staatliche Einrichtungen als auch Unternehmen, die lokal gehostete SharePoint-Server nutzen.
Angreifer behielten Zugriff weit über den Angriff hinaus
Das gestohlene kryptografische Material ermöglichte es den Hackern, auch lange nach dem ursprünglichen Einbruch Zugang zu den kompromittierten Systemen aufrechtzuerhalten.
Ausnutzung erfolgte vor Veröffentlichung des Patches
Carmakal betonte, dass die Schwachstelle bereits weitreichend und opportunistisch ausgenutzt wurde, bevor Microsoft ein entsprechendes Update bereitstellen konnte.
Diese frühe Ausnutzung habe den Vorfall besonders schwerwiegend gemacht.
Taktiken erinnern an frühere chinesische Cyberkampagnen
Die beim Angriff eingesetzten Methoden ähneln stark denen, die bereits früher staatlich unterstützten chinesischen Cyberoperationen zugeschrieben wurden.
Das Vorgehen passe in ein größeres Muster strategischer Cyberspionage.
Spionage, Diebstahl geistigen Eigentums und globale Ziele
Nach Angaben von Microsoft hat Linen Typhoon über ein Jahrzehnt hinweg Regierungs-, Verteidigungs- und Menschenrechtsorganisationen angegriffen, um geistiges Eigentum zu stehlen.
Violet Typhoon konzentrierte sich derweil auf Spionageaktivitäten gegen ehemalige Amtsträger, NGOs, Thinktanks und Institutionen in den USA, Europa und Ostasien.
