Eine russische Hackergruppe hat über die Microsoft-Plattform Teams weltweit dutzende Organisationen ins Visier genommen. Ziel des Angriffs seien Anmeldedaten gewesen, teilte Microsoft am Mittwoch mit.
Die Angreifer nutzten bereits kompromittierte Microsoft 365-Konten von kleinen Unternehmen, um sich über neue Domains der Firmen als technischer Support von Microsoft auszugeben. Diese versendeten dann Phishing-Nachrichten über Teams, um über Chats mit den Nutzern an deren Multi-Faktor-Authentifizierungsdaten (MFA) zu gelangen. Die Nutzung der gefälschten Support-Domains wurde von Microsoft bereits unterbunden.
Laut Microsoft sind weniger als 40 Organisationen betroffen
Die «sehr gezielten» Angriffe hätten seit Ende Mai «weniger als 40 einzelne globale Organisationen» betroffen, sagte Microsoft. Das Unternehmen kündigte eine Untersuchung des Vorfalls an. Die russische Botschaft in Washington reagierte zunächst nicht auf eine Reuters-Anfrage zur Stellungnahme.
Die Hackergruppe ist in der Branche als Midnight Blizzard oder APT29 bekannt. Sie hat nach Angaben von Microsoft ihren Sitz in Russland und wird von den Regierungen Grossbritanniens und der USA mit russischen Geheimdiensten in Verbindung gebracht. «Die Organisationen, auf die diese Aktivität abzielt, deuten wahrscheinlich auf spezifische Spionageziele von Midnight Blizzard hin, die auf Regierungen, Nichtregierungsorganisationen (NGOs), IT-Dienstleistungen, Technologie, diskrete Fertigung und den Mediensektor abzielen», erklärte Microsoft.
Midnight Blizzard sei dafür bekannt, seit 2018 solche Organisationen anzugreifen – vor allem in den USA und Europa. MFAs sind eine weithin empfohlene Sicherheitsmassnahme, um Hackerangriffe oder den Diebstahl von Anmeldedaten zu verhindern.
(reuters/mth)