Microsoft entdeckt drei APTs, die Impfstofffirmen angegriffen haben

[English]Microsoft macht die Entdeckung dreier Hackergruppen (APTs) aus Nordkorea und Russland öffentlich. Die drei staatlich geförderten Hacker-Gruppen (APTs) sind für Angriffe auf mindestens sieben Unternehmen, die einen COVID-19-Impfstoff oder Behandlungen entwickeln, verantwortlich. Bei den Hacker-Gruppen (APTs) handelt es sich um Russlands Strontium (Fancy Bear) und Nordkoreas Zink (Lazarus Group) und Cerium.


Anzeige

Aktuell erlebt die Welt ja zwei heftige Bedrohungen. Da ist die Coronavirus-Pandemie, die die Menschen und die Wirtschaft fest im Griff hat. Und es ist die Welle von Cyber-Angriffen, die 2020 zunehmend die IT-Landschaft bedroht. Cyber-Kriminelle sind auf digitalem Raubzug und staatlich geförderte Hackergruppen sind dabei, die Gesellschaft zu stören. Besonders beunruhigend sind die Angriffe auf das Gesundheitswesen, die Ransomware-Angriffe auf Kliniken und dass Cyberangriffe dazu benutzt werden, Organisationen im Gesundheitswesen, die die Pandemie bekämpfen, zu stören. Diese Angriffe sind skrupellos und sollten von der gesamten zivilisierten Gesellschaft verurteilt werden.

Microsoft geht daher mit neuen Erkenntnissen zu den Cyber-Angriffen durch staatlich geförderten Hacker-Gruppen (APTs), die Angriffe auf mindestens sieben Unternehmen, die einen COVID-19-Impfstoff oder Behandlungen entwickeln, durchgeführt haben, an die Öffentlichkeit. Microsoft hat das Ganze am 13. November 2020 im Blog-Beitrag Cyberattacks targeting health care must stop offen gelegt.

Angriffe der letzten Monate

In den letzten Monaten haben die Sicherheitsexperten von Microsoft Cyberangriffe von drei nationalstaatlichen Akteuren entdeckt, die auf sieben prominente Unternehmen abzielen, die direkt an der Erforschung von Impfstoffen und Therapien für Covid-19 beteiligt sind. Zu den Zielpersonen gehören führende Pharmaunternehmen und Impfstoffforscher in Kanada, Frankreich, Indien, Südkorea und den Vereinigten Staaten. Die Angriffe kamen von Strontium, einer aus Russland stammenden Hackergruppe, und zwei aus Nordkorea stammenden Akteuren, die Microsoft Zink und Cerium nennt.

Ziel: Impfstoffhersteller und Testanbieter für Covid-19

Unter den Angriffszielen sind die meisten Impfstoffhersteller, die Covid-19-Impfstoffe in verschiedenen Phasen der klinischen Erprobung haben. Die eine ist eine klinische Forschungsorganisation, die an Versuchen beteiligt ist, und die andere hat einen Covid-19-Test entwickelt. Mehrere Zielorganisationen haben Verträge mit oder Investitionen von Regierungsbehörden aus verschiedenen demokratischen Ländern für Arbeiten im Zusammenhang mit Covid-19.

Angriffsmethoden offen gelegt

Die russische Strontium-Gruppe verwendet weiterhin Passwortspray und Brute-Force-Anmeldeversuche, um Anmeldeinformationen zu stehlen. Dabei handelt es sich um Angriffe, die darauf abzielen, mit Tausenden oder Millionen von schnellen Versuchen die Zugangsdaten für Benutzerkonten zu ermitteln.

Die nordkoreanische Zink-Hackergruppe setzt hat in erster Linie Speer-Phishing-Köder für den Diebstahl von Berechtigungsnachweisen ein und verschickt Nachrichten mit gefälschten Stellenbeschreibungen, die vorgeblich von einem Headhunter stammen. Cerium beschäftigte sich mit Speerphishing-E-Mail-Ködern zu Covid-19-Themen, die sich dabei als abgesandt von Vertretern der Weltgesundheitsorganisation ausgaben.

Die meisten dieser Angriffe wurden durch die in Microsoft-Produkte integrierte Sicherheitsvorkehrungen abgewehrt. Das Sicherheitsteam von Microsoft hat alle betroffenen Organisationen benachrichtigt, und wo Angriffe erfolgreich waren, haben die Microsoft-Sicherheitsleute Hilfe angeboten.

Regierungen müssen handeln

Ich hatte hier im Blog über zahlreiche Angriffe auf den Gesundheitssektor berichtet – und es gibt erste Ermittlungen der Staatsanwaltschaft wegen eines Todesfalls (siehe Uniklinikum Düsseldorf: Es war Ransomware, Staatsanwaltschaft ermittelt wegen Todesfolge). Weiterhin gab es den Blog-Beitrag Ransomware-Infektionen mit Datenlecks: Stoppt den Wahnsinn, in dem ich neue Ansätze zum Eindämmen der IT-Sicherheitspandemie thematisiert habe. Das US-Justizministerium versucht zumindest bei Ransomware einen Riegel vorzuschieben, indem Zahlungen untersagt werden (siehe Empfehlungen des US-Finanzministeriums zu Ransomware-Forderungen).


Anzeige

Microsoft-Manager Brad Smith hat auf dem Pariser Friedensforum die Regierungen dieser Welt aufgefordert, mehr zu tun. Microsoft ruft die Staats- und Regierungschefs der Welt auf, zu bekräftigen, dass das Völkerrecht Gesundheitseinrichtungen schützt, und Maßnahmen zur Durchsetzung des Rechts zu ergreifen.

Microsoft ist der Meinung, dass das Gesetz nicht nur dann durchgesetzt werden sollte, wenn Angriffe von Regierungsbehörden ausgehen. Sondern die rechtlichen Möglichkeiten des Völkerrechts seien auch dann einzusetzen, wenn die Angriffe von kriminellen Gruppen ausgehen, die Regierungen in die Lage versetzen, auf diesem Gebiet (Spionage, Datenklau, Störung des Gesundheitswesens) zu operieren – oder solche Operationen zu erleichtern. Dies ist eine kriminelle Aktivität, die nicht toleriert werden kann. Details lassen sich hier bei Microsoft nachlesen, eine weitere Zusammenfassung gibt es bei ZDNet.

Ähnliche Artikel:
Uniklinikum Düsseldorf: Es war Ransomware, Staatsanwaltschaft ermittelt wegen Todesfolge
Ransomware-Infektionen mit Datenlecks: Stoppt den Wahnsinn
Empfehlungen des US-Finanzministeriums zu Ransomware-Forderungen
Anatomie eines (Maze-)Ransomware-Angriffs
Fake Ransomware-Decryptor verschlüsselt Dateien neu
Neues zum Ransomware-Angriff auf Ludwigshafener Versorger
Ruhr-Universität Bochum: Hack war ein Ransomware-Befall
Ransomware-Befall in Uniklinik von Brno (Brünn Tschechien)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Microsoft entdeckt drei APTs, die Impfstofffirmen angegriffen haben

  1. Herr IngoW sagt:

    Hoffen wir mahl, das die Regierungen in allen Ländern mahl AUFWACHEN und vielleicht mahl mehr für IT-Sicherheit tun.
    Für Firmen aller Art gilt das selbe, denn da wird sehr oft (angeblich aus Kostengründen) an der IT-Sicherheit gespart (aus Geiz, denn für die Gehälter der Führung ist genug da).

  2. Mira Bellenbaum sagt:

    Mal ganz blöde Frage!
    Warum werden die Kabel nicht gekappt? Quasi ein Internetembargo!
    "Hey, Putin, wenn Deine Leute nicht aufhören in Fremde Netze einzudringen,
    ziehen wir den Stecker!"
    oder
    China oder Nordkorea, Kabel kappen und aus die Maus!

    Warum wird das nicht gemacht?

    • Uwe Bieser sagt:

      Das Internet ist keine Gasleitung. Es ist ein weltweit verzweigtes Maschennetz. Wollte man den Verkehr unterbinden müssten auch befreundete Staaten Russlands oder die zumindest Handel mit diesen betreiben (Also auch Deutschland) vom Internet getrennt werden.
      Aber selbst das würde ja nichts bringen. Dann hackt man halt von einer Scheinfirma aus dem Ausland heraus.

  3. Dat Bundesferkel sagt:

    "Das Sicherheitsteam von Microsoft hat alle betroffenen Organisationen benachrichtigt, und wo Angriffe erfolgreich waren, haben die Microsoft-Sicherheitsleute Hilfe angeboten."
    Kann ich mir vorstellen, da werden die nächsten Enterprise-Bundles für Regierungen geschnürt, jetzt noch billiger bei der Anschaffung (und kostspieliger im Unterhalt).

    "Regierungen müssen handeln"
    Bin ich absolut dafür! Sofortiges Einsatzverbot von Closed Source Software in Wirtschafts- und Regierungskreisen.

    Irgendwie muß ich an ständige Relativierungen denken: "Wir brauchen Überwachung, weil *hier schlüssige Begründung für Leichtgläubige einsetzen*"

    Und nun heißt das schlagkräftige Argument: "Alle sabotieren unsere Gesundheitsforschung."

    Aber immerhin: "Die meisten dieser Angriffe wurden durch die in Microsoft-Produkte integrierte Sicherheitsvorkehrungen abgewehrt."
    Böse Zungen behaupten ja, daß ohne diese "Produkte" eben diese eklatanten Sicherheitslücken gar nicht erst existiert und genutzt hätten werden können. Ich erinnere da gerne mal an den (wiederholten) Hackvorfall der Bundesregierung mit unsicheren Exchange-Servern als Einfallstor…, wo die Schuld später auf eine angeschlossene Bildungseinrichtung und deren Systeme geschoben wurde (wtf ist dort für das Netzwerk zuständig…).

    * Schlüssige Begründungen für Leichtgläubige
    – KiPo
    – Terrorismus
    – Urheberrechtsverletzung
    – Onlinebetrug
    – (…)

  4. voko sagt:

    Das klingt für mich nach Fake News. Wir kennen doch alle die Verknüpfung von Herrn Gates in Bezug zur WHO / Impfstoff. Was mich wundert- immer sind die Russen oder die Nordkoreaner die Bösen. Irgendwann wird sich wieder einmal bestätigen, dass die Landsleute von Herr Gates hinter solchen Nachrichten stecken? Das Feuer muss eben ständig geschürt werden……

    • Günter Born sagt:

      Ist aber schon arge Verschwörungstheorie … und die Angriffe sind real, wenn auch Biontec wohl nicht angegriffen wurde.

      • Uwe Bieser sagt:

        Ausschließlich Verschwörungstheorie ist das nicht, wenngleich in der Argumentation ohne jeden Wert. Der Hinweis auf Bill Gates ist ein grobes Foul. Jetzt reicht es schon Landsmann zu sein um mit drinzustecken.

        Aber: Auf die Frage, bezüglich der Behauptung, russische Hacker hätten 2016 den DNC- Server gehackt, musste der Chef der Firma Cloudstrike, die für die Demokraten die forensische Untersuchung durchführte, unter Eid einräumen, dass er keine eindeutigen Beweise dafür hat, trotzdem wir das Narativ gepflegt, obwohl das FBI keine eigenen forensische Untersuchungen durchführte. Gelegentlich wird immer noch die einst von Hillary Clinton in die Welt gesetzte und von der New York Times in 2017 richtig gestellte Behauptung uaufrecht erhalten, sämtliche 17 US-Geheimdienste kommen zu dem Schluss, dass es Russen waren. Der ehemalige technische Direktor des NSA, William Binney, ist davon überzeugt, dass die Daten via USB-Laufwerk abgeflossen sind. Ich kann das nicht bewerten, sehe aber bei Anhängern der Demokraten ebenfalls Filterblasen, wie zum Beispiel beim angeblichen Einfluss auf die Wahlen, durch die russische Firma IRA. Das bedeutet aber nicht automatisch, dass nun alle Vorwürfe stets konstruiert sein müssen. Aber was von Geheimdienste zu halten ist, weiß man nicht erst seit Iraks angeblichen WMDs.

    • Dat Bundesferkel sagt:

      "Wir kennen doch alle die Verknüpfung von Herrn Gates in Bezug zur WHO / Impfstoff."

      Nicht noch so einer… ja, genau, jetzt im Dezember werden wir erstmals alle kleine Mikrochips in Form einer Impfung erhalten und der totalen Kontrolle und Überwachung unterliegen. Bei Nichtgehorsam wird ein Schalter umgelegt und der umgehende Exitus eingelegt.

      Meintest Du sowas in der Richtung(…)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.