Nobelium-Hacker greifen weiterhin Microsoft-Kunden an, Trojaner auf Support-Computer

Sicherheit (Pexels, allgemeine Nutzung)[English]Die Aktivitäten der mutmaßlich russischen Nobelium-Gruppe gehen weiter. Microsoft hat drei erfolgreiche Hacks bei Kunden aufgedeckt und diese informiert. Zudem hat man auf einem Computer eines Microsoft-Supporters einen Trojaner gefunden. Dieser konnte Informationen über Kunden an die Hacker weiter geben.


Anzeige

Nobelium ist Microsofts Bezeichnung für eine staatlich geförderte Hackergruppe, die vermutlich von Russland aus operiert und für die SolarWinds-Angriffe verantwortlich ist. Microsofts Threat Intelligence Center hat neue Aktivitäten des Bedrohungsakteurs Nobelium verfolgt. Die Sicherheitsüberwachungstools haben Passwort-Spray- und Brute-Force-Angriffe detektiert. Daher hat Microsoft einige Erkenntnisse in diesem Blog-Beitrag veröffentlicht, um Kunden und Communities zu helfen, sich zu schützen.

Drei Opfer gefunden

Laut Microsoft waren die jüngsten Aktivitäten der Hackergruppe größtenteils erfolglos, und die meisten Ziele wurden nicht erfolgreich kompromittiert. Microsoft sind bisher drei kompromittierte Einrichtungen bekannt. Alle Kunden, die kompromittiert oder angegriffen wurden, wurden von Microsoft kontaktiert.

Diese Art von Aktivität ist nicht neu und zielten auf bestimmte Kunden ab. In erster Linie auf IT-Unternehmen (57 %), gefolgt von Behörden (20 %) und kleineren Anteilen für Nichtregierungsorganisationen und Think Tanks sowie Finanzdienstleistungen.  Die Aktivitäten konzentrierten sich größtenteils auf US-Interessen, etwa 45 %, gefolgt von 10 % in Großbritannien und kleineren Zahlen aus Deutschland und Kanada.  Insgesamt waren 36 Länder das Ziel.

Trojaner auf System gefunden

Im Rahmen der Analyse einer laufenden Aktivität entdeckten die Microsoft Sicherheitsforscher auch einen Trojaner auf einem Rechner, der einem der Kundensupport-Mitarbeiter gehörte. Über den Computer hatte der Mitarbeiter Zugang zu grundlegenden Kontoinformationen für eine kleine Anzahl von Microsoft Kunden.

Der Bedrohungsakteur nutzte diese Informationen in einigen Fällen, um sehr gezielte Angriffe als Teil seiner breit angelegten Kampagne zu starten. Microsoft gibt an, schnell reagiert zu haben. Man hat den Zugang entfernt und das Gerät gesichert. Die Untersuchung dauert noch an, aber Microsoft bestätigt, dass die Microsoft Support-Agenten mit den minimalen Berechtigungen konfiguriert sind, die im Rahmen des Microsoft Zero-Trust-Ansatzes für den "am wenigsten privilegierten Zugriff" auf Kundeninformationen erforderlich sind. Wir benachrichtigen alle betroffenen Kunden und unterstützen sie dabei, ihre Konten sicher zu halten.

Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
SUNBURST-Malware: Analyse-Tool SolarFlare, ein ‚Kill-Switch' und der Einstein-Überwachungsflopp
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SUNBURST: Auch US-Atomwaffenbehörde gehackt, neue Erkenntnisse
SolarWinds-Hack: Auch Microsoft & Co. betroffen?
SUNBURST-Hack: Microsofts Analysen und Neues
SolarWinds-Systeme mit 2. Backdoor gefunden
SolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode
SolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?
Gibt es deutsche Opfer des SolarWinds-Hacks?
Neues vom SolarWinds-Hack; JetBrains-Software als Einfallstor?
Kaspersky: SolarWinds Sunburst-Backdoor gleicht russischer ATP-Malware
SolarLeaks bietet angeblich Sourcecode von Cisco, Microsoft und SolarWinds an
Auch Malwarebytes von den SolarWinds-Angreifern erfolgreich gehackt
Vier Sicherheitsanbieter bestätigen SolarWinds-Vorfälle
Neues vom SolarWinds-Hack: 3 neue Bugs, alte Bugs durch chinesische Hacker missbraucht
Microsoft-Untersuchung zu Solarigate: 1.000 Cyber-Krieger und Zugriff auf Quellcode von Azure, Exchange, Intune
Vorwurf: Microsoft hat beim SolarWinds-Hack bei der Sicherheit gepatzt
SolarWinds: Microsoft kritisiert Amazon und Google wegen fehlender Offenlegung
SolarWinds-Hackerangriff: 300 deutsche Ziele im Fokus
SolarWinds: Update für Orion-Software, Angreifer hatten Zugriff auf Top DHS-Konten
SolarWinds-Hack: 6 EU-Organisationen betroffen, neue Hinweise auf Russland als Urheber


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Nobelium-Hacker greifen weiterhin Microsoft-Kunden an, Trojaner auf Support-Computer

  1. Paul sagt:

    "Trojaner auf Support-Computer" dann
    "Trojaner auf System gefunden"
    und was war es wirklich:
    "Im Rahmen der Analyse einer laufenden Aktivität entdeckten die Microsoft Sicherheitsforscher auch einen Trojaner auf einem Rechner, der einem der Kundensupport-[Microsoft-]Mitarbeiter gehörte."
    "Über den Computer hatte der [Microsoft-]Mitarbeiter Zugang zu grundlegenden Kontoinformationen für eine kleine Anzahl von Microsoft Kunden."

    Das es sich um einen Microsoft-Mitarbeiter handelte, wohl auch einen MS-eigenen Rechner, wurde mir erst hier -indirekt- klar:
    (Im Teaser stand das uch, aber wer liest schon noch teaser?)

    "Die Untersuchung dauert noch an, aber Microsoft bestätigt, dass die Microsoft Support-Agenten mit den minimalen Berechtigungen konfiguriert sind, die im Rahmen des Microsoft Zero-Trust-Ansatzes für den „am wenigsten privilegierten Zugriff" auf Kundeninformationen erforderlich sind. "

    Titel wäre also:
    "Trojaner auf Microsoft-Support-Computer gewährt 3. Zugriff auf Kundenrechner"?

    Weil, das wäre ja wohl ne fette Nachricht, wenn MS das eigene Zeug resp. das seiner Mitarbeiter nicht sauber halten kann?
    Natürlich war das "nur" ein *Mitarbeiter*-Rechner und der hatte nur Zugriff auf "wenige Kunden" und sowieso nur ganz wenige, ja eigentlich garkeine Rechte…
    Nennt man das ein "überspezifisches Dementi" oder "Herunterspielen" oder "Burying"?

    So etwas (ein Trojaner auf einem Support-Rechner) ist doch wohl ein echter GAU,
    ganz egal, wer die "Bedrohungsakteure" waren und wie sie rein-/weitergekommen waren, oder wer sieht das warum anders?

    Wenn ich, $böse, Zugriff auf einem Suport-Computer habe gehören mir sehr schnell alle Computer die support von da bekommen. Gibt es kein 2FA sind also User/Passwörter irgendwo lesbar gespeichert, sind sogar alle Kunden gefährdet. Fido2 hätte zumindest die Kunden geschützt, die keine Wartung gebraucht haben.
    Opfer von Home office?

    Benutzt MS keine Virenscanner, DLP, Virtuelle Maschinen (eine pro Kunde, unter Unix), 2FA, Fido2? (2FA wäre hier von geringen Nutzen, wenn der Tronjaner "live" mitlesen kann, klar.) sondern ein Microsoft-Kundendienstmitarbeiter kann einen (verwanzten) Privat-Computer zur Wartung nutzen?

    Die Infos die Günter bringt sind immer echt die relativ Besten (ehrlich gemeint).
    Danke!
    (Sogar der Teaser selbst trägt Informationen… :-)

  2. Iwan sagt:

    Apropos Microsoft … hat mich doch heute eine nette Dame in gebrochenem Deutsch (klang eher nach erbrochenem Deutsch!) aus dem "Headquarter von Microsoft Kalifornien" USA – (MS sitzt doch in Redmond (Washington State) oder irre ich?) mit einer deutschen Mobilfunknummer 01724680…. auf Festnetz angerufen und informierte mich über meinen virenverseuchten Rechner … zumindest hat sie es versucht …
    Mit etwas Russisch (Ja nje panemaju debja) und Dumm stellen bin ich die "Supporterin" dann los geworden … ich nix englisch .. .;-)

    So könnte man aber gratis zu einem Trojaner kommen …

Schreibe einen Kommentar zu Paul Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.