Massiver Hackerangriff erschüttert Microsoft Azure: Hunderte Konten betroffen

Alarmierende Entdeckung: Forscher des US-Cybersicherheits-Unternehmens Proofpoint entdeckten kürzlich eine Kampagne zur unbefugten Nutzung von Cloud-Konten. Betroffen davon sind Microsoft-Azure-Umgebungen und deren Benutzer, darunter leitende Führungskräfte. Zwar enttarnte Proofpoint die Bedrohung bereits im November 2023 – im Februar 2024 ist sie jedoch immer noch aktiv.

Laut Proofpoint nutzt die Kampagne Phishing-Techniken sowie die Kontrolle von Cloud-Konten. Dabei verwenden die Angreifer personalisierte Köder in gemeinsam genutzten Dokumenten, zum Beispiel den Link „Dokument anzeigen“. Einmal angeklickt, leitet der Link Benutzer auf eine Phishing-Seite weiter.

Die Opferprofile sind vielfältig: Vom Verkaufsleiter über den Account- und Finanzmanager bis hin zu Vizepräsidenten für Betrieb, Präsidenten und CEOs.

Proofpoint warnt davor, dass erfolgreiche Angriffe in dieser Kampagne eine Kaskade von unbefugten Aktivitäten nach sich ziehen könnte. Wie Analysten feststellten, nutzen Hacker verschiedene Authentifizierungsmethoden. Ein Beispiel: das Registrieren alternativer Telefonnummern für die Authentifizierung über SMS oder Anruf. In den meisten Fällen bevorzugten die Angreifer jedoch die Methode, eine Authenticator-App mit Benachrichtigung und Code hinzuzufügen.

Einmal ins System der Nutzer eingedrungen, können Hacker auf sensible Dateien zugreifen und sie herunterladen. So kommen sie schnell an Listen über finanzielle Vermögenswerte, interne Sicherheitsprotokolle oder Informationen zu Benutzeranmeldungen. Sie infiltrieren E-Mail-Boxen, führen laterale Bewegungen in betroffenen Netzwerken durch und nutzen spezifische Benutzerkonten für personalisiertes Phishing. Zudem erstellen sie Verschleierungsregeln, um Spuren zu verwischen und Beweise für bösartige Aktivitäten zu löschen. Auch Finanzbetrug ist möglich durch das Senden interner E-Mails an die Personal- und Finanzabteilungen der betroffenen Organisationen.

Proofpoints Analyse des Angriffs identifizierte mehrere Proxies, Datenspeicherdienste und gekaperte Domains als operative Infrastruktur der Kampagne. Angreifer verwenden Proxyservices, um den scheinbaren geografischen Ursprung unbefugter Aktivitäten mit dem potenziellen Opfer abzustimmen und Geofencing-Richtlinien zu umgehen. Den Einsatz von Proxyservices wechseln die Hacker regelmäßig. Das ermöglicht ihnen, den tatsächlichen Standort zu verschleiern und die Blockierung bösartiger Aktivitäten zu erschweren.

Zusätzlich zu Proxyservices nutzen Angreifer bestimmte lokale Festnetzanbieter, die ihre geografischen Standorte offenlegen könnten. Einige dieser nicht-proxybasierten Quellen befinden sich in Russland und Nigeria.

Schwachstelle nicht rechtzeitig beseitigt

Mitte 2023 schickte der US-Senator Ron Wyden einen Brief an die Cybersecurity and Infrastructure Security Agency (CISA), das Justizministerium sowie die Federal Trade Commission (FTC). In diesem forderte er, dass Microsoft aufgrund fahrlässiger Cybersicherheitspraktiken zur Verantwortung gezogen wird. Der Grund: Die unzureichenden Sicherheitsvorkehrungen ermöglichten chinesische Spionageakte gegen die US-Regierung.

Im Bereich der Cybersicherheit hat Tenable, ein Anbieter von Lösungen für das Management von Cyber-Exposition, potenzielle unbefugte Zugriffe auf die Microsoft Azure-Plattform und dazugehörige Dienste untersucht. Dabei stieß das Tenable-Team auf Anzeichen einer kritischen Schwachstelle: Es entdeckte die Authentifizierungsgeheimnisse einer Bank. Das Unternehmen informierte Microsoft umgehend über den Fund.

Doch vergingen mehr als 90 Tage, bis Microsoft eine partielle Lösung für ein Problem implementierte, das Netzwerk-Hacking und Dienstbeeinträchtigungen für viele Kunden ermöglicht. Zum damaligen Zeitpunkt versicherte Microsoft, dass das Problem bis Ende September 2023 behoben sei. Der aktuelle Vorfall, den Proofpoint aufdeckte hat, lässt anderes vermuten.

Neue Führungskraft für Microsoft

Mitten in diesem Vorfall wechselte Ahmed Shihab, zuvor Vizepräsident für Infrastruktur-Hardware bei Amazon Web Services (AWS), zum Konkurrenten Microsoft. Als Vizepräsident ist er ab sofort für den Bereich Azure Storage Services tätig. Auf Anfrage von CRN bestätigte Microsoft die Einstellung von Shihab, gab jedoch keine Details zu seiner neuen Rolle und Verantwortlichkeiten bekannt. Die Einstellung erfolgt zu einer Zeit, in der Amazon eine Welle von Entlassungen in Führungspositionen in der AWS-Division durchläuft. Die Basis dafür bildet eine im April 2023 gestartete Maßnahme zur Kostensenkung bei dem Internetriesen. Experten erwarteten die Entlassung weiterer 9.000 Mitarbeiter aus verschiedenen Geschäftsbereichen. Auch betroffen: Amazon Web Services.