Warum Unternehmen Nobelium im Blick haben sollten

Eine neue Aktion der Nobelium-Gruppe, die vom Microsoft Threat Intelligence Center (MSTIC) aufgedeckt wurde, dient als Erinnerung daran, dass böswillige, mit Russland in Zusammenhang stehende Akteure weiterhin hoch motiviert sind, neue Angriffsvektoren zu suchen, während alte beseitigt werden.

Ende Juni gab Microsoft bekannt, dass der Computer eines Kundendienstmitarbeiters gehackt worden war. Das Eindringen führte schlussendlich zu gestohlenen Kundendaten und gezielten Angriffen auf bislang drei Unternehmen, wobei Passwort-Spraying und Brute-Force-Techniken gegen deren Anmeldeserver zum Einsatz kamen.

Die Entdeckung ergab sich aus den Untersuchungen, die Microsoft gegen Nobelium durchgeführt hatte – die Gruppe, die für die Angriffe auf die Kunden von SolarWinds verantwortlich ist. Laut Microsoft wurden die betroffenen oder anvisierten Kunden alarmiert.

„Die Untersuchung dauert an, aber wir können bestätigen, dass unsere Support-Agenten mit den minimalen Berechtigungen konfiguriert sind, die im Rahmen unseres Zero Trust-Ansatzes für Kundeninformationen erforderlich sind. Wir benachrichtigen alle betroffenen Kunden und helfen ihnen dabei, zu gewährleisten, dass ihre Konten sicher bleiben“, sagte Microsoft in einer Erklärung.

Weiter heißt es in der Erklärung: „Diese Art von Aktivität ist nicht neu und wir empfehlen auch weiterhin, dass jeder Sicherheitsvorkehrungen trifft, beispielsweise die Aktivierung der Multi-Faktor-Authentifizierung, um die Umgebung vor diesem und ähnlichen Angriffen zu schützen. Dies unterstreicht die Bedeutung von Best Practices für Sicherheitsvorkehrungen, wie die Zero-Trust-Architektur und Multifaktor-Authentifizierung, und deren Relevanz für jeden.“

Reuters zufolge machte Microsoft den Angriff erst öffentlich, nachdem das Unternehmen nach gefragt wurde, ob es betroffene Kunden informiert habe. In einer Kopie der Microsoft-Erklärung, auf die Reuters in der zweiten Maihälfte Zugriff hatte, heißt es, dass der Angreifer zur Nobelium-Gruppe gehört und Zahlungsinformationen, die von Kunden bezahlten Dienste und weitere Daten einsehen konnte.

Microsoft gab Reuters keine Informationen darüber, ob es sich bei dem Kundendienstmitarbeiter um einen Outsourcer handelte oder nicht. Ein Sprecher sagte, dieser Vorfall sei kein Teil des früheren erfolgreichen Angriffs von Nobelium auf Microsoft, durch den sich die Angreifer Zugang zu einem Teil des Quellcode-Repositorys des Unternehmens verschafft hatten.

Nach Meinung des Unternehmens war der Angriff Teil einer größeren Nobelium-Aktion, die sich insbesondere auf IT-Unternehmen und Regierungen weltweit konzentrierte. Fast die Hälfte der versuchten Angriffe richtete sich gegen Organisationen in den USA, etwa 10 % betraf Unternehmen in Großbritannien und eine kleinere Anzahl Organisationen in Kanada und Deutschland.

Microsoft sprach heute viel über Sicherheit, vor allem in Bezug auf das kommende Windows 11. Das Unternehmen versucht darzulegen, dass Benutzer auf eine spezifische Hardware upgraden sollten.

Prävention

Die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) stellt die folgende Liste von Best Practices zur Verfügung, um die Sicherheit von Organisationen zu stärken.

• Halten Sie Signaturen und Antiviren-Programme auf dem neuesten Stand.
• Halten Sie die Patches für Ihr Betriebssystem auf dem aktuellen Stand.
• Deaktivieren Sie Dienste zur Datei- und Druckerfreigabe. Wenn diese Dienste erforderlich sind, verwenden Sie sichere Kennwörter oder eine Active Directory-Authentifizierung.
• Schränken Sie die Fähigkeit (Berechtigungen) der Benutzer ein, unerwünschte Softwareanwendungen zu installieren und auszuführen. Fügen Sie Benutzer nur dann zur lokalen Administratorgruppe hinzu, wenn dies wirklich notwendig ist.
• Führen Sie eine starke Passwort-Richtlinie ein und aktualisieren Sie regelmäßig Ihre Passwörter.
• Seien Sie beim Öffnen von E-Mail-Anhängen vorsichtig, auch wenn Sie den Anhang erwarten und Ihnen der Absender bekannt erscheint.
• Aktivieren Sie auf den Arbeitsplätzen eine persönliche Firewall mit einer Konfiguration, die dafür sorgt, dass unerwünschte Verbindungsanfragen abgelehnt werden.
• Deaktivieren Sie nicht benötigte Dienste auf allen Workstations und Servern.
• Untersuchen und entfernen Sie verdächtige E-Mail-Anhänge; stellen Sie sicher, dass es sich bei dem gescannten Anhang um den „wahren Dateityp“ handelt (die Erweiterung sollte mit dem Dateikopf übereinstimmen).
• Überwachen Sie das Browsing-Verhalten der Benutzer; beschränken Sie den Zugriff auf Websites mit bedrohlichen Inhalten.
• Passen Sie bei der Verwendung von Wechselmedien auf (z. B. USB-Sticks, externe Laufwerke, CDs usw.).
• Scannen Sie jede aus dem Internet heruntergeladene Software, bevor Sie diese ausführen.
• Halten Sie sich über die neuesten Bedrohungen auf dem Laufenden und implementieren Sie entsprechende Zugriffssteuerungslisten (ZSL).