NOBELIUM - Hackerangriff auf Microsoft Partner

NOBELIUM - Hackerangriff auf Microsoft Partner

Lars Zuckschwerdt / 05. November 2021

Microsoft veröffentlichte am 25. Oktober 2021 einen Blogartikel über Angriffe auf Microsoft Partner und deren Accounts durch die NOBELIUM genannte Hackergruppe. Ziel dieser bereits seit Mai festzustellenden Angriffe auf Microsoft Partner wie die abtis ist es, Zugangsdaten zu unserem Partner Netzwerk zu erhalten, um dann über die Delegierung im Partner Center an die Kundenumgebungen unserer CSP-Kunden zu gelangen. Dieser Angriffsvektor ist dem IT-Security Team der abtis schon lange bekannt. Wann immer ein Consultingunternehmen wie die abtis einen Zugang zu einer Kundenumgebung erhält, bietet dies ein gewisses Sicherheitsrisiko sowohl für den Kunden als auch für das Consultingunternehmen.

Aus diesem Grund haben wir bereits seit vielen Jahren einen sehr hohen Anspruch an die abtis eigene IT-Security Infrastruktur. Wir haben bereits weit vor NOBELIUM und den damit verbundenen Angriffen unterschiedlichste Technologien implementiert, die unsere Mitarbeitenden und unsere Kunden vor solchen Angriffen schützen. In diesem Blogartikel möchte ich beschreiben, wie wir uns und unsere Kunden vor diesen Supply Chain Angriffen schützen und was unsere Erfahrungen der letzten Wochen waren.

Welche Sicherheitsstandards fordert Microsoft für seine Partner?

Bereits seit einigen Jahren besteht Microsoft auf einen gewissen Sicherheitsstandard der Partner. Dazu zählen unter anderem der flächendeckende Einsatz von Multifaktor Authentifizierung. Bei abtis haben wir auf jedem Benutzeraccount diese Anforderung erzwungen. Um unsere Mitarbeitenden nicht zu sehr mit MFA-Anforderungen zu belästigen, setzen wir hier auf Conditional Access Richtlinien, die das tägliche Nutzen der Microsoft 365 Features verwalten. Sobald ein Benutzer der abtis jedoch auf das Partner Center und dort auf eine Kundenumgebung zugreifen möchte, wird der zweite Faktor erzwungen. Dies bedeutet konkret, dass kein Benutzer auf die Kundenumgebungen gelangen kann, wenn er nicht vorher einen weiteren Faktor bei der Anmeldung nachgewiesen hat. Dieser weitere Faktor kann ein 6-stelliger Code sein, das Bestätigen in der Authenticator App oder auch ein durch die abtis verwaltetes Gerät, welches mittels Richtlinien geschützt wird. Alle abtis eigenen Geräte sind beispielsweise vollständig verschlüsselt und mit Windows Hello for Business und einer Bitlocker Pre-Boot Pin geschützt. Zusammengefasst bedeutet dies also, dass ausschließlich Benutzer auf das Partner Center und den darin verbundenen Kundenumgebungen zugreifen können, die folgende Voraussetzungen erfüllen:

  • Der Benutzer muss eine entsprechende Berechtigung im Partner Center besitzen
  • Der Benutzeraccount muss zwingend mittels Multifaktor Authentifizierung abgesichert sein
  • Der Client, von welchem aus zugegriffen werden soll, muss von der abtis verwaltet und konfiguriert sein
  • Der Client muss verschlüsselt sein und eine Pre-Boot Pin aufweisen
  • Die Anmeldung an dem Client erfolgt mittels Windows Hello for Business

Sind diese Voraussetzungen gegeben, darf der Benutzer auf das Partner Center und damit auch auf die Kundenumgebungen zugreifen. Jeder Zugriff sowohl auf das Partner Center an sich als auch auf die Kundenumgebungen wird in einem Logfile protokolliert und durch das abtis SOC überwacht und auf Anomalien untersucht. Legt also beispielsweise ein Benutzer über das Partner Center einen Benutzeraccount in einem Kunden Tenant an, ein beschriebenes Szenario von NOBELIUM, wird dies protokolliert und das abtis SOC erhält einen Alert. Auf diesen Alert wird dann je nach Situation reagiert. Diese Reaktion kann im Zweifelsfall bedeuten, dass das SOC den Account aus dem Kunden-Tenant löscht und den ausführenden Benutzer als kompromittiert kennzeichnet. In einem solchen Falle, muss der abtis Mitarbeitende sein Kennwort ändern und mehrfache MFA-Anforderungen positiv bestätigen, dann wird der Benutzer wieder freigegeben.

Durch diese konsequente Vorgehensweise stellen wir bei abtis sicher, dass alle unsere Kundenumgebungen, auf welche wir entsprechende privilegierte Zugriffsrechte besitzen ausreichen geschützt sind und eine Kompromittierung bestmöglich verhindert wird.

Nachdem NOBELIUM den Vorteil des Partnernetzwerks der Microsoft ebenfalls erkannt hat und Angriff auf unterschiedlichste Partner ausgeführt hat, wurde auch die abtis aktiv angegriffen. Aber was bedeutet nun „aktiv angegriffen“? Was ist konkret passiert, wie haben wir uns vor diesen Angriffen geschützt und was für Auswirkungen hatten diese Angriffe? Fragen, die im Folgenden beantwortet werden:

Was ist konkret passiert?

Im oben genannten Zeitraum wurden alle Accounts der abtis mehr oder weniger intensiv mittels Brute Force angegriffen. Bei Brute Force Attacken werden für einen Benutzer so viele Kennwörter wie möglich „ausprobiert“, in der Hoffnung ein passendes zu finden. Der am meisten angegriffene Benutzer der abtis war bzw. ist unser Geschäftsführer Thorsten Weimann. Dieser Account wurde zwischen dem 04.08. - 31.10.2021 von 4877 unterschiedlichen IP-Adressen aus insgesamt 128 Ländern der Welt mittels Brute-Force angegriffen. Der zweithäufigste angegriffene Account ist das abtis Info Postfach. Hier waren es zwischen dem 16.08. und 25.10. insgesamt 1139 IP-Adressen aus 81 Ländern. Auf Platz 3 liegt ein weiterer generische abtis-Account, welcher zwischen dem 31.08. und dem 16.10. von 874 IP-Adressen aus 61 Ländern angegriffen wurde.

Vorschaubild: Hackerangriff - Backend

Eine weitere Angriffsmöglichkeit auf die Benutzeraccounts sind sogenannte Password Spray Attacken. Hierbei werden nicht viele Passwörter für einen Account, sondern viele Accounts für ein Passwort ausprobiert. Vorteil eines solchen Angriffes ist, dass die Accounts in der Regel nicht gesperrt werden, da der Zeitraum, in welchem die Passwörter ausprobiert werden, zu groß ist für die automatische Accountsperre im Active Directory. Nachteil ist, dass ein solcher Angriff sehr zeitintensiv ist. NOBELIUM hat jedoch viel Zeit! Bei abtis wurden verschiedenste Benutzer aus verschiedensten Ländern der Welt mittels Password Spray Attacken angegriffen:

Vorschaubild: Hackerangriff - Backend

Auf einer Weltkarte sieht die Verteilung der Angriffe dann so aus:

Vorschaubild: Hackerangriff - Backend - Angriff Verteilung auf der Weltkarte

Auffällig ist, dass sehr viele der von uns überwachten und verarbeiteten Events aus dem europäischen Raum kommen. Dies hat unter anderem den Hintergrund, dass die meisten europäischen Unternehmen, die sogenanntes Country Blocking einsetzen, den europäischen Raum davon ausgenommen haben. Somit werden potenzielle Angriffe von dieser Technologie nicht mehr unterbunden. Um einen Eindruck von der Anzahl an Events der letzten 90 Tage zu erhalten, welche das abtis SOC verarbeitet hat, ein weiterer Screenshot:

Vorschaubild: Hackerangriff - Backend

Diesen Screenshot nehmen wir mit zur Frage 2:

Wie haben wir uns vor diesen Angriffen geschützt?

Wenn man den Screenshot oben genauer ansieht, erkennt man, dass wir alle Events analysieren und bewerten, um daraus gegebenenfalls Alerts zu generieren. Diese Alerts werden dann je nach Art und Risikolevel zu einem Incident. Diese Incidents landen dann im abtis SOC – in den verschiedenen Tiers. Während insgesamt 328 Incidents bereits in Tier 2 geschlossen werden konnten, befinden sich zum Zeitpunkt des Screenshots 3 Incidents in manueller Bearbeitung. Die übrigen 160 Incidents sind False – Positives. Ein solcher Incident wird unter anderem ausgelöst, wenn wir im Rahmen der Analyse aller Events feststellen, dass ein Account mittels Brute Force oder Password Spray Attacke angegriffen wird. In einem der Tiers wird dann der Benutzer als kompromittiert markiert und alle seine aktiven Sessions beendet und der Benutzer überall abgemeldet. Sobald der Benutzer sich wieder anmelden möchte, wird er aufgefordert sein Kennwort zu ändern und mehrfach seine Identität mittels weiteren Faktors zu bestätigen. Wurde dies alles erfolgreich durchgeführt, wird der Benutzer wieder freigegeben und der Incident geschlossen. Aus diesem Grund mussten viele der abtis Mitarbeitenden in den letzten Wochen mehrfach die Kennwörter ändern. Dies diente einzig und allein dem Schutz der Kundenumgebungen im Partner Center. Das Risiko eines kompromittierten Accounts durch NOBELIUM ist um einiges größer als der Aufwand, das Benutzerkennwort zu ändern.

Gleichzeitig wurden die IP-Adressen, welche im Rahmen der Incident erkannt wurden, in der gesamten abtis Infrastruktur blockiert. Das bedeutet nicht nur an der Gateway-Firewall, sondern auch auf allen Windows 10 Clients der abtis – unabhängig vom Standort. Ein Zugriff auf diese IP-Adressen ist von keinem abtis-Gerät aus mehr möglich. Dies verhindert im Falle einer Kompromittierung, dass ein Angreifer mit dem Client kommunizieren kann.

Was für Auswirkungen hatten diese Angriffe?

Für unsere Kunden – keine! Unsere Kunden waren und sind zu jedem Zeitpunkt vor einer solchen Supply Chain Attacke geschützt, da wir als abtis einen sehr hohen Security-Anspruch an die Mitarbeitenden, die Infrastruktur und die eingesetzten Technologien haben. Für die Mitarbeitenden der abtis hatten die Angriffe zeitweise zur Folge, dass unter Umständen täglich das Kennwort geändert werden musste oder außergewöhnlich oft die Aufforderung zur Bestätigung eines weiteren Faktors kam. Das ist sicherlich für den ein oder anderen anstrengend oder gar nervig – doch es hat uns bis heute vor Angriffen von außen geschützt und sichert so uns und unsere Kunden ab.

Was können unsere Kunden tun?

Schützen Sie Ihre privilegierten Accounts mit den höchstmöglichen Sicherheitsmaßnahmen. Es ist kein Spruch, wenn wir sagen „Es ist nicht die Frage, ob Sie kompromittiert werden, sondern wann!“ – wir haben es in den letzten Wochen im eigenen Unternehmen erfahren, was es heißt angegriffen zu werden. Überwachen Sie Ihre Infrastruktur auf Anomalien – vieles erkennt man im täglichen Geschäft nicht.

Und ganz wichtig – fragen Sie Ihre Partner wie diese sich vor Angriffen schützen!

Hierzu können Ihnen folgende 10 Fragestellungen helfen:

  • Wie greifen Ihre Partner auf Ihre Infrastruktur zu und wie wird gewährleistet, dass kein Unbefugter diesen Weg nutzen kann?
  • Wie werden die Benutzeraccounts der Partner geschützt?
  • Wird sichergestellt, dass das Gerät von welchem aus auf Ihre IT zugegriffen wird, gewissen Sicherheitsanforderungen, zum Beispiel vollständig Verschlüsselung, entspricht?
  • Wird bei Zugriffen auf Ihre IT durch Partner Multi Faktor Authentifizierung erzwungen?
  • Überwacht Ihr Partner Zugriffe auf Ihre IT oder Ihre Infrastruktur?
  • Ist ein unbeaufsichtigter Zugriff auf Ihre IT und Ihre Infrastruktur durch einen Partner möglich? Wenn ja - wie wird dieser abgesichert und gewährleistet, dass ausschließlich autorisierte Benutzer diesen nutzen?
  • Werden Zugriffe protokolliert und auf ungewöhnliche Vorgänge analysiert?
  • Wie überwacht Ihr Partner seine eigene Infrastruktur, Services und Benutzeraktivitäten?
  • Wie reagiert Ihr Partner auf potenzielle Kompromittierungen seiner Accounts?
  • Ist Ihr Partner in der Lage Anomalien in dessen eigenen Infrastruktur zu erkennen und ausreichend darauf zu reagieren?

 

Zurück