Microsoft: Für Cyberangriff aus Russland Account von US-Behörde gekapert

Die Verantwortlichen für die SolarWinds-Attacke sind wohl weiter aktiv. Laut Microsoft haben sie einen Account einer US-Behörde gekapert und Attacken begonnen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 54 Beiträge

(Bild: Pavel Ignatov/Shutterstock.com)

Von
  • Martin Holland

Eine Hackergruppe in Diensten des russischen Staats ist angeblich in Systeme einer Behörde des US-Außenministeriums eingedrungen und führt von dort aus Phishing-Angriffe aus. Das erklärt Microsoft und macht die gleiche Gruppe verantwortlich, der schon die SolarWinds-Attacke angelastet wird. Der Angriff sei noch nicht beendet, heißt es vom Microsoft Threat Intelligence Center, das die Informationen demnach trotzdem bereits öffentlich macht, um der Industrie beim Schutz vor den Aktivitäten zu helfen. Gleichzeitig nutzt der US-Konzern die Gelegenheit, um einmal mehr klare Regeln zu fordern und Konsequenzen für solche Angriffe. Man werde sich weiter dafür einsetzen, die Agenda eines "digitalen Friedens" voranzutreiben.

Nobelium wie die sonst auch als APT29 oder Cozy Bear bekannte Gruppe bei Microsoft heißt, hat dem Konzern zufolge einen Account der United States Agency for International Development (USAID) bei einem Marketinganbieter gekapert. Das ist die US-Behörde für Entwicklungszusammenarbeit und viele Staaten und Organisationen in aller Welt sind mit ihr in Kontakt, erwarten also auch E-Mails. Das sei nun für den Angriff ausgenutzt worden, schreibt Microsoft. Ungefähr 3000 E-Mail-Accounts von mehr als 150 Organisationen in mindestens 24 Staaten hätten authentisch scheinende Mails mit Schadcode erhalten. Mindestens ein Viertel der angegriffenen Organisationen seien in der Entwicklungshilfe, humanitären Hilfe und Menschenrechtsarbeit tätig.

Laut Microsoft hätte ein Klick auf den Link in den Angriffsmails zur Installation einer Hintertür geführt, über die weitreichende Angriffe möglich gewesen wären. Viele E-Mails seien automatisch blockiert worden und der Windows Defender verhindere inzwischen auch eine Ausführung der Malware, versichert Microsoft noch. Weitere Informationen zur eingesetzten Technik und dazu wie man die Angriffe aufspürt, gibt es vom Microsoft Threat Intelligence Center. Das verweist auch darauf, dass die Attacken noch nicht unterbunden werden konnten. Organisationen sollten mit den Details also die eigenen Systeme untersuchen und bei ankommende Kommunikation entsprechend vorsichtiger sein.

Screenshots einer Mail mit Schadcode

(Bild: Microsoft)

Die Angriffe laufen laut Microsoft mindestens seit Ende Januar und wurden demnach immer weiter entwickelt. Der US-Konzern bringt ihn auch in eine direkte Verbindung mit dem umfangreichen SolarWinds-Hack, der in den Vereinigten Staaten für gehörig Aufregung gesorgt hatte. Die in Reaktion auf die Attacke verhängten Sanktionen haben also offenbar nicht stark genug abgeschreckt. Die Vorwürfe von Microsoft fallen in eine Zeit, in der das Verhältnis zwischen den USA und Russland auch deswegen stark angespannt sind. In drei Wochen will US-Präsident Biden Russlands Präsidenten Putin in Genf treffen. Microsoft fordert nun erneut klare Regeln für das Verhalten von Staaten im Cyberspace und Sanktionen bei deren Missachtung. Es müsse mehr getan werden.

(mho)