Microsoft informiert über Details des Storm-0558 Cyberangriffs
Niklas Kehr / 03. August 2023Vor wenigen Wochen gab Microsoft Details zu den Angriffen der Hackergruppe Storm-0558 bekannt, die im ersten Halbjahr dieses Jahres stattgefunden haben. Die wichtigsten Details, die zum heutigen Zeitpunkt bekannt sind, und ob der deutsche Mittelstand betroffen ist, dass können Sie hier lesen.
Zunächst einmal, was ist passiert?
Eine chinesische Hackergruppe mit dem Namen Storm-0558 sorgte für weltweites Aufsehen. Bei einem Microsoft-Kunden wurde festgestellt, dass Storm-0558 über Outlook Web Access (OWA) auf die Exchange Online-Daten des Kunden zugreift. Microsoft-Analysten entdeckten, dass der Zugriff des Akteurs Exchange Online-Authentifizierungsartefakte verwendete, die in der Regel von Azure AD-Authentifizierungstoken (Azure AD-Token) abgeleitet wurden. Eine eingehende Analyse der Exchange Online-Aktivität ergab, dass der Akteur tatsächlich Azure AD-Token mit einem erworbenen Microsoft-Konto (MSA) Consumer-Signaturschlüssel fälschte. Möglich wurde dies durch einen Validierungsfehler im Microsoft-Code.
Wie geht die Gruppe nach bisherigen Erkenntnissen vor?
Die bisherige Strategie bestand darin, über Phishing-Kampagnen Anmeldungsinformationen für einen Erstzugriff abzugreifen, so Microsoft. Die Gruppe hat auch Schwachstellen in öffentlich zugänglichen Anwendungen ausgenutzt, um sich Zugang zu den Netzwerken zu verschaffen. Diese Exploits führen in der Regel dazu, dass Web-Shells, einschließlich China Chopper, auf kompromittierten Servern bereitgestellt werden. Ein potenzieller Hinweis auf den Akteur ist ein Tool namens „Cigril“, das bei einigen Angriffen verwendet wurde.
Nach dem Erstzugriff greift er auf Anmeldeinformationen aus einer Vielzahl von Quellen zu, einschließlich des LSASS-Prozessspeichers und der Registrierungsstruktur des Security Account Manager (SAM). Es wird davon ausgegangen, dass sich der Akteur beim Cloud-E-Mail-Konto des kompromittierten Benutzers mit den gültigen Kontoanmeldeinformationen anmeldet, sobald Storm-0558 Zugriff auf die gewünschten Benutzeranmeldeinformationen hat. Der Akteur sammelt dann Informationen aus dem E-Mail-Konto über den Webdienst.
Kann ich als Firma schon davon betroffen sein?
Laut Microsoft wurden alle bisherigen Ziele informiert. Aktionen bei Betroffenen waren auch nicht erforderlich. Microsoft hat die betroffenen Systeme gehärtet durch:
- Erhöhte Isolation der Systeme von Unternehmensumgebungen, Anwendungen und Benutzern
- Mehr Überwachung der Systemaktivität und Verfeinerung der automatisierten Warnungen
- Microsoft hat die MSA-Signaturschlüssel in den Schlüsselspeicher verschoben, der für die Unternehmenssysteme verwendet wird.
- Microsoft blockierte die Verwendung des Schlüssels für alle betroffenen Privatkunden, um die Verwendung bereits ausgestellter Token zu verhindern.
Welche neuen Informationen sind veröffentlicht worden?
Veröffentlicht wurden die Indikatoren des Angriffs, unter anderem die IP-Adressen aus den bisherigen Angriffen und der Fingerprint des erworbenen Signaturschlüssels. Speziell unsere CDOC-Kunden wurden zusätzlich bereits auf Interaktion mit den bisherigen Angreifer-IPs geprüft.
Ist der deutsche Mittelstand ein mögliches nächstes Ziel der Hackergruppe?
Im Moment ist es sehr unwahrscheinlich das deutsche kleinere Unternehmen in den Focus geraten. Vergangene Ziele der wahrscheinlich chinesischen Hackergruppe waren in erster Linie diplomatische, wirtschaftliche und gesetzgebende Regierungsgremien, vorwiegend in den USA. Die Gruppe scheint politisch zu agieren, gegen Ziele, die positiv zu Taiwan oder der uigurischen Bevölkerung positioniert sind.
Andere mögliche Ziele waren bisher Think-Tanks, Medienunternehmen sowie Anbieter von Kommunikationsausrüstung.
Was kann man gegen diese Art von Angriffen oder auch generell unternehmen?
Wie überall in der Wirtschaft ist Schutz auch eine Art Wettbewerb. Firmen, die gut aufgestellt sind, haben deutlich weniger zu befürchten als Mitbewerber mit keinem oder wenig Schutz. Cyberangriffe sind durch den strukturellen und organisierten Aufbau von Angreifer-Gruppen, in denen jeder seine Expertise mit einbringt, deutlich gefährlicher geworden. Im besten Falle hat man ein eigenes Cyber Defense Operation Center an der Seite, um Tag und Nacht sofort bei Auffälligkeiten reagieren zu können.