Midnight Blizzard, eine vermutlich russische Hackergruppe, hat über Microsoft Teams weltweit gezielt Organisationen mit Phishing angegriffen.
Ein gefährlicher Angriff auf Microsoft Teams hat in den letzten Wochen weltweit für Schlagzeilen gesorgt. Dahinter steckt vermutlich die russische Hackergruppe „Midnight Blizzard“, die über 40 Organisationen ins Visier genommen hat. Ziel der Angreifer war es, an Zugangsdaten zu gelangen, indem sie sich als Mitarbeiter des technischen Supports von Microsoft ausgaben.
Doch wie genau sind die Hacker vorgegangen und mit welchen Sicherheitsmaßnahmen können sich Unternehmen vor solchen Bedrohungen schützen?
Midnight Blizzard wollte an Multi-Faktor-Authentifizierungsdaten
Die Hacker von APT29 (Midnight Blizzard), auch bekannt als Cozy Bear, gingen äußerst raffiniert vor. Sie nutzten bereits kompromittierte Microsoft 365-Konten von Kleinunternehmen, um ihre Identität zu verschleiern. Anschließend gaben sie sich als Mitarbeiter des technischen Supports von MS aus und verschickten Phishing-Nachrichten über die Teams-Plattform. Das Ziel von Midnight Blizzard war es demnach, über Chats mit den Nutzern an deren Multi-Faktor-Authentifizierungsdaten (MFA) zu gelangen.
Die Multi-Faktor-Authentifizierung ist eine empfohlene Sicherheitsmaßnahme, um Hackerangriffe und den Diebstahl von Anmeldedaten zu verhindern. Dabei handelt es sich um einen zusätzlichen Sicherheitsschritt, der über das herkömmliche Passwort hinausgeht. Dies kann zum Beispiel ein Einmalpasswort sein, das dem Nutzer per SMS zugesandt wird.
Versuchen sich Hacker mit gestohlenen Zugangsdaten anzumelden, scheitern sie an der MFA-Hürde und der Zugang wird verweigert. Microsoft hat die Nutzung der gefälschten Support-Domains unterbunden, um weiteren Schaden durch APT29 zu verhindern. Das berichtete das Handelsblatt in einem aktuellen Artikel.
Sehr gezielte Angriffe auf bestimmte Organisationen in verschiedenen Sektoren
Laut Microsoft handelte es sich um „sehr gezielte“ Angriffe auf bestimmte Organisationen in verschiedenen Sektoren wie Regierungen, Nichtregierungsorganisationen (NGOs), IT-Dienstleister, Technologieunternehmen, diskrete Fertigung und Medien. Es wird vermutet, dass „Midnight Blizzard“ Verbindungen zu russischen Geheimdiensten hat und bereits seit 2018 solche Attacken vor allem in den USA und Europa durchführt.
Für Unternehmen und Organisationen, die Microsoft Teams einsetzen, ist es wichtiger denn je, ihre Mitarbeiter über solche Phishing-Betrügereien aufzuklären. MS hat angekündigt, den Vorfall gründlich zu untersuchen. Die russische Botschaft in Washington hat noch keine Stellungnahme abgegeben.
