Dem Titel nach könnte man denken, die russischen Hacker hätten stellvertretend für den russischen Staat gehackt. 
Zum Glück sind unsere Leser aber intelligent und wissen, dass Russland – wie die meisten anderen Staaten auch – Hackergruppen unterhält, die offiziell eigenständig, aber in Realität doch nur ein Arm der Regierung sind.
1 „Gefällt mir“
Mag sein, es gibt in diesem Fall jedoch keine Beweise für die Finanzierung der Hacker seitens Russland.
Ich bin kein Freund von Pauschalisierung.
1 „Gefällt mir“
Russland und Nordkorea vom Internet trennen, bye
1 „Gefällt mir“
Russland will sich doch ohnehin vom weltweitem Internet trennen. Warum tun die das nicht einfach (zum Wohle aller)!? Genau wie Nordkorea, einfach nur inkonsequent…
In dem Artikel steht doch gar nicht, das die Mails die abgegriffen wurden unverschlüsselt waren. Es geht doch nur darum, dass Emails heruntergeladen wurden, aber nicht dass der Inhalt lesbar bar.
Man sollte schon davon ausgehen, dass MS und HPE ihre Emails verschlüsselt abspeichern.
Es gab in der Vergangenheit Interviews von russischen Hackern und Politikern, die damit geprahlt haben, dass die Regierung die besten Hacker für bestimmte Projekte anheuert.
Es ist auch ein offenes Geheimnis und offiziell dass Russland einen Posten im Haushalt für Computersabotage hat.
Das Problem bei verschlüsseltem Abspeichern ist, dass diese Verschlüsselung auf Dateisystemebene ist. Wenn man Zugriff auf den Account hat, kann man die Mails trotzdem einsehen. Deshalb ist das ja Augenwischerei. Im Firmenkontext existiert das Konzept „E2E verschlüsselte Mail“ de-facto nicht.
Psst, lass ihn in seiner Welt aus Zuckerwatte 
Ich auch nicht, aber…
Midnight Blizzard, auch bekannt als APT29 bzw. Nobelium, ist eine Bedrohungsgruppe, die dem russischen Auslandsgeheimdienst (SVR) zugeschrieben wird. Die ersten Aktivitäten von Midnight Blizzard ereigneten sich laut Kaspersky im Jahr 2008, als die ersten MiniDuke-Malware-Samples zusammengestellt wurden. APT29 setzt bei seinen Cyberoperationen eine Vielzahl fortschrittlicher Techniken ein, um die Geheimdienstanforderungen des SVR zu erfüllen.
Midnight Blizzard wurde verdächtigt, an mehreren aufsehenerregenden Einbruchs- und Kompromittierungsversuchen beteiligt gewesen zu sein, darunter an der Office Monkeys-Kampagne im Jahr 2014 gegen ein in Washington DC ansässiges privates Forschungsinstitut, im Jahr 2015 gegen das Pentagon, gegen das Democratic National Committee (DNC) und US Think Panzer im Jahr 2016, die norwegische Regierung und mehrere niederländische Ministerien im Jahr 2017. Die Gruppe hat auch Organisationen im Bildungssektor ins Visier genommen, die mit der medizinischen Forschung verbunden sind. Es ist sehr wahrscheinlich, dass die Gruppe solche Institutionen zu Spionagezwecken ins Visier nimmt, um Daten über westliche medizinische Fortschritte abzuschleichen.
Midnight Blizzard nutzt eine breite Palette maßgeschneiderter Tools, die in verschiedenen Programmiersprachen entwickelt wurden, was die verfügbaren Ressourcen demonstriert. Die Gruppe nutzt auch öffentlich verfügbare Standardtools wie Mimikatz und Cobalt Strike.
Zielsektoren:
Midnight Blizzard nimmt gezielt Organisationen ins Visier, die für die Beeinflussung der Außenpolitik von NATO-Ländern verantwortlich sind. Es wurde auch dokumentiert, dass der Schwerpunkt auf Organisationen aus einer Reihe von Sektoren liegt, darunter Bildung, Energie, Telekommunikation, Regierung und Militär.
Motivationen von Bedrohungsakteuren:
Die Motive von Midnight Blizzard können anhand der Strategien beurteilt werden, die sie im Kontext ihrer Kampagnen anwenden. Die Gruppe ist für ihr Interesse an geheimen geopolitischen Daten bekannt, die für den russischen Staat von Vorteil wären. Midnight Blizzard operiert im Rahmen des SVR, eines Geheimdienstes, der über disruptive Fähigkeiten zur Durchführung fortgeschrittener Cyberspionageoperationen verfügt. Daher handelt Midnight Blizzard aus Spionagegründen.
Zeitleiste der Aktivitäten von Bedrohungsakteuren:
2014: Midnight Blizzard führt die „Office Monkeys“-Kampagne durch, die sich an ein privates Forschungsinstitut mit Sitz in Washington DC richtet
2015: Midnight Blizzard verschafft sich über Phishing ersten Zugang zum Netzwerk des Pentagons und führt die „Hammertoss“-Technik ein, um Schein-Twitter-Konten für die Command-and-Control-Kommunikation (C2) zu nutzen
2016: In einer Kampagne namens „GRIZZLY STEPPE“ drang Midnight Blizzard kurz vor der US-Wahl durch eine Phishing-Kampagne in die DNC-Server ein und forderte die Opfer auf, ihre Passwörter über eine gefälschte Website zu ändern
2017: Zielgruppe sind die norwegische Regierung und mehrere niederländische Ministerien. TLP-Status:
2019: Kompromittiert drei EU-Ministerien für nationale Angelegenheiten und eine in Washington DC ansässige Botschaft eines EU-Nationalstaats
2020: Führt Schwachstellenscans öffentlich zugänglicher IP-Adressen durch, um COVID-19-Impfstoffentwickler in Kanada, den USA und Großbritannien zu kompromittieren
2020: Verteilt SUNBURST-Malware und greift die Orion-Software von SolarWinds an, um einen Remote-Access-Trojaner (RAT) abzuwerfen, der viele globale Organisationen befallen hat
2023: Midnight Blizzard führt gezielte Social-Engineering-Operationen über Microsoft Teams durch
Zugehörige Malware:
PinchDuke: Dies war das erste Toolkit, das weithin Midnight Blizzard zugeschrieben wird. Das Toolkit besteht aus mehreren Ladeprogrammen und einem zentralen Trojaner zum Informationsdiebstahl. Die Malware sammelt Systemkonfigurationsinformationen, stiehlt Benutzeranmeldeinformationen und sammelt Benutzerdateien vom kompromittierten Host, um diese über HTTP(S) an einen C2-Server zu übertragen. Berichten zufolge wurde PinchDuke von November 2008 bis Sommer 2010 eingesetzt und bei Angriffen gegen Tschetschenien, die Türkei, Georgien und mehrere ehemalige Sowjetstaaten beobachtet, bevor es sich 2010 zum CosmicDuke-Toolkit entwickelte.
CosmicDuke: Das CosmicDuke-Toolkit ist eine Informationsdiebstahl-Malware. Es wird durch eine Vielzahl von Komponenten ergänzt, die die Toolkit-Betreiber in die Hauptkomponente integrieren können, um zusätzliche Funktionalitäten bereitzustellen, wie z. B. mehrere Methoden zur Herstellung von Persistenz sowie Module, die versuchen, Schwachstellen bei der Rechteausweitung auszunutzen. CosmicDuke wurde von Januar 2010 bis Sommer 2015 eingesetzt und zielte auf ein breites Spektrum von Organisationen ab, darunter solche aus dem Energie- und Telekommunikationssektor sowie auf Regierungen und das Militär.
GeminiDuke: Das GeminiDuke-Toolset besteht aus einem zentralen Informationsdiebstahler, einem Loader und mehreren persistenten Komponenten. Im Gegensatz zu CosmicDuke und PinchDuke sammelt es hauptsächlich Informationen über die Konfiguration des Zielsystems. GeminiDuke wurde von Januar 2009 bis Dezember 2012 aktiv genutzt.
CozyDuke: CozyDuke ist eine modulare Malware-Plattform, die auf einer zentralen Backdoor-Komponente basiert. Es kann vom C2-Server angewiesen werden, beliebige Module herunterzuladen und auszuführen, wodurch eine Vielzahl von Funktionen bereitgestellt werden. Zusätzlich zu Modulen kann CozyDuke auch angewiesen werden, andere, unabhängige ausführbare Dateien herunterzuladen und auszuführen. In einigen beobachteten Fällen handelte es sich bei diesen ausführbaren Dateien um selbstextrahierende Archivdateien, die gängige Hacking-Tools wie PSExec und Mimikatz sowie Skriptdateien zur Ausführung dieser Tools enthielten. CozyDuke wurde von Januar 2010 bis Frühjahr 2015 von Midnight Blizzard genutzt.
OnionDuke: Das OnionDuke-Toolkit umfasst mindestens einen Dropper, einen Loader, einen Information-Stealer-Trojaner und mehrere modulare Varianten. OnionDuke war das einzige von Midnight Blizzard verwendete Tool, das nicht über Phishing, sondern über einen bösartigen Tor-Exit-Knoten verbreitet wurde. OnionDuke wurde von Februar 2013 bis Frühjahr 2015 beobachtet
SeaDuke: SeaDuke ist eine Backdoor-Malware, die sich auf die Ausführung von Befehlen konzentriert, die von ihrem C2-Server abgerufen werden, wie etwa das Hoch- und Herunterladen von Dateien, die Ausführung von Systembefehlen und die Auswertung von zusätzlichem Python-Code. SeaDuke war von Oktober 2014 bis Mai 2016 aktiv und wurde während des DNC-Angriffs von Midnight Blizzard im Jahr 2015 beobachtet.
Hammertoss: Midnight Blizzard nutzte Hammertoss wahrscheinlich als Backup für ihre beiden primären Hintertüren, um Befehle auszuführen und den Zugriff aufrechtzuerhalten, falls das Haupttoolset der Gruppe entdeckt werden sollte. Hammertoss war mindestens von Januar 2015 bis Juli 2015 im Einsatz.
CloudDuke: CloudDuke ist ein Malware-Toolset, das bekanntermaßen mindestens aus einem Downloader, einem Loader und zwei Backdoor-Varianten, darunter MiniDionis/Cloudlook, besteht. Der CloudDuke-Downloader lädt zusätzliche Malware von einem vorkonfigurierten Speicherort herunter und führt sie aus. CloudDuke war hauptsächlich im Sommer 2015 im Einsatz.
Cobalt Strike Beacon: In der Phishing-Kampagne im November 2018 im Zusammenhang mit Midnight Blizzard nutzte die Gruppe der Bedrohungsakteure Cobalt Strike Beacon anstelle maßgeschneiderter Malware oder Toolkits. Die Beacon-Nutzlast wurde mit einer modifizierten Variante des öffentlich verfügbaren „Pandora“ Malleable C2 Profile konfiguriert und verwendete die C2-Domäne – pandorasong[.]com.
PowerDuke: PowerDuke wurde über E-Mails mit Microsoft Word- oder Excel-Dateien mit bösartigen Makros an Ziele übermittelt. Bei erfolgreicher Ausnutzung wird ein PNG-Bild vom kompromittierten Webserver heruntergeladen und der PowerDuke-Trojaner mithilfe von Steganographie in den PNG-Bildern versteckt. PowerDuke wurde erstmals im August 2016 entdeckt und bei der jüngsten Operation eingesetzt, die weithin Midnight Blizzard zugeschrieben wird: der Spear-Phishing-Kampagne nach der Wahl im November 2016.
POSHSPY: POSHSPY ist eine Hintertür, die PowerShell und Windows Management Instrumentation (WMI) nutzt. Die Verwendung einer PowerShell-Nutzlast bedeutet, dass nur legitime Systemprozesse genutzt werden und die Ausführung des Schadcodes nur durch verbesserte Protokollierung oder im Speicher identifiziert werden kann. POSHSPY ist seit mindestens Anfang 2015 aktiv.
Indikatoren:
Zugehörige IP-Adressen von Midnight Blizzard:
193[.]36[.]119[.]162
91[.]132[.]139[.]195
141[.]255[.]164[.]11
193[.]36[.]116[.]119
185[.]99[.]133[.]226
5[.]252[.]177[.]21
111[.]90[.]150[.]140
23[.]106[.]123[.]15
111[.]90[.]147[.]248
141[.]255[.]164[.]40
91[.]234[.]254[.]144
31[.]42[.]177[.]78
141[.]255[.]164[.]36
193[.]239[.]84[.]199
193[.]36[.]119[.]184
185[.]66[.]91[.]180
107[.]152[.]35[.]77
111[.]90[.]151[.]120
13[.]57[.]184[.]217
13[.]59[.]205[.]66
Zugehörige Domänen von Midnight Blizzard:
avsvmcloud[.]com
literaturaelsalvador[.]com
signitivelogics[.]com
totalmassasje[.]nr
2bdo5s70oc51vu3de3bvrq60eiw[.]appsync-api[.]eu-west-1[.]avsvmcloud[.]com
2e7hv525mpn9uiljt3ev[.]appsync-api[.]eu-west-1[.]avsvmcloud[.]com
7sbvaemscs0mc925tb99[.]appsync-api[.]us-west-2[.]avsvmcloud[.]com
8cngei63kcpgho7kern0le2ve2sn0te2[.]appsync-api[.]eu-west-1[.]avsvmcloud[.]com
8tvp0990935eitt5hjvcbmv[.]appsync-api[.]eu-west-1[.]avsvmcloud[.]com
act4fk13agv8olsou30e2st[.]appsync-api[.]eu-west-1[.]avsvmcloud[.]com
appsync-api[.]us-east-1[.]avsvmcloud[.]com
athe4f602s6ce101uj21[.]appsync-api[.]eu-west-1[.]avsvmcloud[.]com
gq1h856599gqh538acqn[.]appsync-api[.]us-west-2[.]avsvmcloud[.]com
hvpgv9psvq02ffo77et[.]appsync-api[.]us-east-2[.]avsvmcloud[.]com
ihvpgv9psvq02ffo77et[.]appsync-api[.]us-east-2[.]avsvmcloud[.]com
jbq3rh7rjdghmmcxco0ge2sd[.]appsync-api[.]eu-west-1[.]avsvmcloud[.]com
k5kcubuassl3alrf7gm3[.]appsync-api[.]eu-west-1[.]avsvmcloud[.]com
ld3iu5dr2341o83hhr5p[.]appsync-api[.]eu-west-1[.]avsvmcloud[.]com
mhdosoksaccf9sni9icp[.]appsync-api[.]eu-west-1[.]avsvmcloud[.]com
Midnight Blizzard Associated File Hashes (SHA256):
019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134
0f5d7e6dfdd62c83eb096ba193b5ae394001bac036745495674156ead6557589
1817a5bf9c01035bcf8a975c9f1d94b0ce7f6a200339485d8f93859f8f6d730c
1cffaf3be725d1514c87c328ca578d5df1a86ea3b488e9586f9db89d992da5c4
32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77
381a3c6c7e119f58dfde6f03a9890353a20badfa1bfa7c38ede62c6b0692103c
Midnight Blizzard Associated File Hashes (SHA1):
1acf3108bf1e376c8848fbb25dc87424f2c2a39c
1fb12e923bdb71a1f34e98576b780ab2840ba22e
2f1a5a7411d015d01aaee4535835400191645023
395da6d4f3c890295f7584132ea73d759bd9d094
72e5fc82b932c5395d06fd2a655a280cf10ac9aa
75af292f34789a1c782ea36c7127bf6106f595e8
76640508b1e7759e548771a5359eaed353bf1eec
9858d5cb2a6614be3c48e33911bf9f7978b441bf
Midnight Blizzard Associated File Hashes (MD5):
1c3b8ae594cb4ce24c2680b47cebf808
2c4a910a1299cdae2a4e55988a2f102e
56ceb6d0011d87b6e4d7023d7ef85676
731d724e8859ef063c03a8b1ab7f81ec
846e27a652a5e1bfbd0ddd38a16dc865
9466c865f7498a35e4e1a8f48ef1dffd
Dann müssten die ja die Secret-Keys, zur Entschlüsselung der Mails, auf den Servern gespeichiert haben… Wer so dumm ist, braucht die Mails auch nicht zu verschlüsseln… Manche Firmen gehen damit echt fahrlässig um
Wenn die Keys bei den jeweiligen Nutzern lokal gespeichert sind, bräuchte man ja erstmal Zugriff auf die Nutzerclients, um die Mails entschlüsseln zu können. Also die werden ja quasi nicht auf dem Server entschlüsselt, sondern erst auf dem PC des Nutzers in seinem Mailprogramm, vorausgesetzt der Key ist vorhanden.
Wie @mpldr geschrieben hat, gehen viele Firmen mit E2E sehr fahrlässig um! Und so setzen die meisten Firmen auf die „normale“ Transportverschlüsselung!
Die Transportverschlüsselung von E-Mails verschlüsselt die übertragenen Daten auf den verschiedenen Übermittlungsabschnitten. Sie kommt beispielsweise zum Einsatz bei der Kommunikation des E-Mail-Clients mit dem E-Mail-Server oder beim Austausch von Nachrichten zwischen verschiedenen E-Mail-Servern. Da die Daten bei diesem Verfahren nur auf der jeweiligen Verbindungsstrecke verschlüsselt sind, sind sie auf den einzelnen Servern nach wie vor in Klartext gespeichert.
Jo, zumindest bei Dovecot https://doc.dovecot.org/configuration_manual/mail_crypt_plugin/
Both operations are transparent to the user
Und das geht halt nur, wenn der Server die Keys hat. Sprich: wenn jemand sich auf dem Server einloggt, wird es schwierig, aber wenn man durch die Vordertür kommt, kann man direkt ins Allerheiligste spazieren. Kann mir nicht vorstellen, dass das bei Outlook anders wäre.
Danke für die ausführliche Darstellung @VIP
das lässt einen zumindest Aufgrund des Inhalts zum Nachdenken bewegen.