HP Enterprise Logo mit einem roten Totenschädel überlagert
Hewlett Packard Enterprise logo and sign. HPE company is an American multinational enterprise information technology company - Palo Alto, California, USA - 2020
Bildquelle: MichaelVi, Lizenz

HP Enterprise und Microsoft von Russland gehackt

Vergangene Woche machten beide Unternehmen bekannt, dass sie Opfer von Angriffen der russischen Hackergruppe Midnight Blizzard wurden.

Vergangene Woche machten sowohl Microsoft als auch der Netzwerkgeräte Hersteller HP Enterprise bekannt, dass eine russische Hackergruppe ihre Systeme ins Visier genommen und kompromittiert hat.

HPE Server kompromittiert

Hewlett Packard Enterprise Company hat in einer SEC Veröffentlichung bekannt gemacht, dass im Mai 2023 Hacker von Advanced Persistent Threat 29, besser bekannt unter dem von Microsoft vergebenen Namen Midnight Blizzard, unautorisierten Zugriff auf das Mail-System und einige Mailboxen erlangt haben. Die Gruppe ist bekannt dafür aus Russland zu agieren und hatten bereits mehrfach mit Hacks auf große Firmen auf sich aufmerksam gemacht.

Laut dem Unternehmen, das erst am 12. Dezember von diesem Hack erfuhr, wurden vor allem die Inboxen des Cybersecurity- und des Marketing-Teams angezapft. Es gab bereits im Juni letzten Jahres Hinweise auf Aktivitäten der Gruppe, als Unbekannte auf SharePoint-Dateien des Unternehmens zugegriffen haben. Dieses Datenleck habe jedoch im Gegensatz zum aktuellen Vorfall keine nennenswerten Auswirkungen gehabt.

Microsoft erlaubt externen Zugriff mit Testaccount

Am selben Tag veröffentlichte Microsoft, dass am 12. Januar ihre Systeme ebenfalls von Midnight Blizzard kompromittiert wurden. Dabei erhielt man nur Zugriff auf wenige Accounts. Unter den betroffenen Accounts sind hochrangige Manager, Mitarbeiter der Rechtsabteilung und auch hier wieder: der Cybersecurity-Abteilung. Im Rahmen des Angriffes wurde auch hier wieder E-Mails heruntergeladen.

Zugriff auf die Microsoft-Systeme erlangten die Hacker laut Unternehmensangaben über einen veralteten Testzugang, der über eine Password Spraying Attacke (quasi einen Account zum kompromittierten Passwort finden) offengelegt wurde. Warum dieser Zugriff öffentlich erreichbar war, oder so weitreichende Zugriffsberechtigungen hatte, ist unklar.

Cybersecurity Teams im Visier

Besondere Beachtung sollte darauf gelegt werden, dass beide Male das Cybersecurity-Team angegriffen wurde. Je nachdem welche Mails man dabei kopiert hat, könnten die Auswirkungen absolut fatal sein. Microsoft-Produkte und Netzwerk-Komponenten von HP Enterprise sind in der Industrie Teile der Standard-Ausstattung. Sollten hier unveröffentlichte Sicherheitslücken abgegriffen worden sein, wäre dies ein Risiko für alle Nutzer.

Fazit

Wir danken den Hackern von Midnight Blizzard, für die Erinnerung, warum Mails – gerade im Cybersecurity-Bereich – verschlüsselt sein sollten. Die Auswirkungen dieses Hacks wären deutlich weniger drastisch, wenn die Mails verschlüsselt gewesen wären. Lassen wir das wenigstens für uns eine Lehre sein, denn diese Information wird wohl in der Welt des großen Geldes so schnell nicht ankommen.

Tarnkappe.info

Über

Moritz ist von ganzem Herzen Open-Source Programmierer. Neben regelmäßigen Commits für diverse Open-Source-Projekte verfasst er gelegentlich auch Texte für die Tarnkappe. Er findet es echt seltsam über sich in der dritten Person zu schreiben und merkt an, dass seine DMs für alles außer Marketing-Nachrichten offen stehen. Erreichbar ist er auf Matrix (@moritz:poldrack.dev), IRC (mpldr auf libera.chat) und Email (~mpldr/public-inbox@lists.sr.ht).