Microsoft hat kürzlich Details zu einem Cyberangriff auf seine internen Systeme veröffentlicht, der von der russischen Hackergruppe Midnight Blizzard durchgeführt wurde. Die Angreifer konnten über einen Testaccount, bei dem die Multifaktor-Authentifizierung (MFA) nicht aktiviert war, auf E-Mail-Konten mehrerer Führungskräfte und Mitarbeiter zugreifen. Dies erfolgte durch einen Passwort-Spray-Angriff, bei dem die Hacker mit einer begrenzten Anzahl populärer Passwörter versuchten, Zugang zu verschiedenen Konten zu erlangen.
Microsoft erklärte, dass die Angreifer gezielt eine begrenzte Anzahl von Zielkonten mit einer geringen Menge an Anmeldeversuchen angegriffen haben, um einer Entdeckung zu entgehen. Zusätzlich nutzten sie eine Proxy-Infrastruktur, um ihre Aktivitäten zu verschleiern. Nach dem Zugriff auf das Testkonto kompromittierten sie eine alte OAuth-Testanwendung mit erweiterten Zugriffsrechten, die es ihnen ermöglichte, weitere Konten zu infiltrieren.
Neben Microsoft wurden auch andere Organisationen von Midnight Blizzard ins Visier genommen. Dies deutet auf eine umfangreiche Kampagne gegen mehrere Ziele hin. Microsoft hat reagiert, indem es seine Sicherheitsprotokolle verstärkt hat, um ähnliche Angriffe in Zukunft zu verhindern. Dazu gehört die Aktivierung der MFA für alle Konten und die Überprüfung von OAuth-Anwendungen auf missbräuchliche Verwendung.
Midnight Blizzard, auch bekannt als NOBELIUM, wird von den Regierungen der USA und des Vereinigten Königreichs als der Auslandsgeheimdienst der Russischen Föderation identifiziert. Die Gruppe zielt hauptsächlich auf Regierungen, diplomatische Einrichtungen, Nichtregierungsorganisationen (NGOs) und IT-Dienstleister ab, vorwiegend in den USA und Europa, mit dem Ziel der Spionage und des Datendiebstahls.
Microsoft hat detaillierte Anleitungen zur Erkennung und Abwehr solcher Angriffe veröffentlicht und teilt seine Erkenntnisse, um anderen Organisationen bei der Verbesserung ihrer Sicherheitsmaßnahmen zu helfen. Die Untersuchung des Angriffs ist noch im Gange, und Microsoft hat zugesichert, weiterführende Informationen bereitzustellen, sobald diese verfügbar sind.