Nicht nur Unternehmen, sondern auch internationale Hackergruppen setzen zunehmend auf Cloud-Technologie. Im April 2020 ist es dem Microsoft Threat Intelligence Center (MSTIC) gelungen, die Hacker*innen der Gadolinium-Gruppe dabei zu erwischen, wie sie Cloud Services und Open-Source-Anwendungen zu digitalen Waffen umgebaut haben. Der MSTIC-Report erklärt jedoch nicht nur detailliert den Angriff, sondern beleuchtet auch die allgemeine Entwicklung der Cyberkriminalität im Schatten des technologischen Fortschritts: Auch Cyberkriminelle bedienen sich an modernen Technologien wie etwa maschinellem Lernen.
Der Kampf gegen die organisierte Cyberkriminalität ist ein Wettrennen zwischen Hacker*innen und Sicherheitsexpert*innen. Unsere Gegner bewegen sich dabei im Schatten und wechseln stetig ihre Ziele, Strategien und Angriffswerkzeuge, um unbemerkt zu bleiben.
Seit mehr als einem Jahrzehnt greift die Hackergruppe Gadolinium Ziele auf der ganzen Welt an, bevorzugt Unternehmen aus der Schifffahrtsbranche oder dem Gesundheitssektor. Zuletzt beobachtete das Microsoft Threat Intelligence Center jedoch, wie die Gruppe neue Ziele ins Visier nahm: Bildungseinrichtungen und regionale Regierungsorganisationen insbesondere im asiatischen Pazifik-Raum.
April 2020: Microsoft enttarnt Hacker*innen in der Azure-Cloud
Die Ermittlungen des Microsoft-Teams offenbarten neben den neuen Angriffszielen der Gruppe auch ihre neuen Waffen, mit denen sie in der Azure-Cloud agierten. Das Ergebnis: Im April 2020 löschte das MSTIC 18 Azure Active Directory-Anwendungen, die Teil einer Command-&-Control-Infrastruktur von Gadolinium waren. Anwendungen, mit denen sich die Angreifer*innen Zugangsrechte zu ihren Zielen in der Cloud verschafften – und so unerkannt Daten erbeuten konnten.
Der Angriff ist gestoppt, ein Zwischenerfolg im andauernden Wettlauf. Der Ermittlungserfolg der Microsoft-Expert*innen in diesem Jahr ermöglicht es, die Entwicklung und die Strategie von Gadolinium detailliert nachzuzeichnen – und gewährt einen Einblick in die verborgene Welt organisierter Hackergruppen.
Warum Hackergruppen zunehmend auf Open-Source-Anwendungen zurückgreifen
Der Angriff begann mit Spear-Phishing-E-Mails, an die eine schädliche PowerPoint-Datei angehängt war. Der Betreff: COVID-19. Der Computer, auf dem die Datei geöffnet wurde, war fortan mit der PowerShell-basierten Malware infiziert. Unsere Sicherheitsprogramme Microsoft Defender und Azure Sentinel konnten die bösartigen Anhänge jedoch identifizieren – und brachten die Ermittlungen ins Rollen.
PowerShell ist ein frei verfügbares Werkzeug, um Aufgaben zu automatisieren und Konfigurationen zu verwalten, es wird in abertausenden Fällen absolut legal verwendet. Gadolinium hat das Tool für sich genutzt, um eine Waffe zu bauen. Sie ist schwer zu entdecken, weil sie sich zwischen all den legalen Anwendungen versteckt. In der Vergangenheit griff Gadolinium Gegner*innen noch mit eigens hergestellter Malware an. Technisch anspruchsvoll, aber gerade das gab Analyst*innen die Möglichkeit, Angriffe eindeutig anhand der verwendeten Schadsoftware zuzuordnen. Das ist in etwa so, als würden die Täter*innen mit ihrem Code einen Fingerabdruck hinterlassen, den handelsübliche Abwehrsoftware schnell identifizieren kann.
Bei den umgerüsteten Open-Source-Anwendungen ist das nicht so – unsere Sicherheitexpert*innen beobachten insgesamt einen Trend organisierter Hackergruppen zu dieser Methode. Sie erschwert die Entdeckung und nutzt die Arbeit anderer, die sich in den falschen Händen schnell und günstig zu einem Angriffswerkzeug umrüsten lässt. In der nun von uns aufgeklärten Angriffswelle nutzte Gadolinium die PowerShell-Malware, um eine der 18 Azure Active Directory-Anwendungen zu installieren. So konnten die Täter*innen die Zugangsberechtigungen zu den Systemen ihrer Opfer verändern und unbemerkt Daten in den OneDrive-Speicher von Gadolinium kopieren. Das untenstehende Schaubild zeigt die Strategie der Angreifer*innen, technische Details enthält der ausführliche MSTIC-Bericht.
Warum die Cloud für Hackergruppen attraktiv ist
Die Ermittlungen zeigen, dass Gadolinium schon seit einigen Jahren mit Cloud Services experimentiert, um Angriffe noch schneller durchzuführen und die Reichweite zu skalieren. Gadolinium eröffnete bereits 2016 ein Profil im Microsoft TechNet-Forum. Dabei bettete die Gruppe im Kontakt-Widget einen Link ein, der einen verschlüsselten Befehl für das Steuern einer Malware-Anwendung enthielt. 2018 kehrte Gadolinium zurück in die Cloud, nutzte nun aber die Plattform GitHub als Host für Befehle an die Computer der Opfer. Das Microsoft-Team hat gemeinsam mit den Kolleg*innen von GitHub daran gearbeitet, die von Gadolinium kontrollierten Accounts zu löschen.
Die Cloud ist für diese Gruppen ein attraktives Versteck. Kostenlose Testaccounts und spezielle One-Time-Payment-Modelle erleichtern den unentdeckten Zugang zu Cloud-Technologien. Dort können sie schnell eine gefährliche Infrastruktur aufbauen, die ebenso schnell wieder aufgegeben werden kann, sobald die Enttarnung droht.
Der Fall zeigt, dass der technische Fortschritt immer auch gefährlichen Akteur*innen zugutekommt, sie entwickeln im Schatten neue Fähigkeiten. Gadolinium wird zweifellos auch nach der Enttarnung der neuesten Angriffe durch Microsoft seine Taktik weiterentwickeln. Doch auch wir werden unsere Gegenmaßnahmen permanent anpassen und sie einsetzen, um unsere Kund*innen zu schützen. Dafür sind weltweit mehr als 3.500 Sicherheitsexpert*innen im Cyber Defense Operations Center, der Digital Crimes Unit und dem Microsoft Threat Intelligence Center im Einsatz. Im Kampf gegen Cybercrime setzen wir zusätzlich auf intelligente Technologien wie künstliche Intelligenz, um täglich mehr als 6,5 Billionen Signale aus der ganzen Welt auf Gefahren zu analysieren, Bedrohungen zu erkennen und Maßnahmen zu ergreifen. Mehr als 5 Milliarden Angriffe wehren wir so pro Monat ab, ohne dass unsere Kunden es in den meisten Fällen überhaupt mitbekommen.
Ausführliche Informationen zu ganzheitlichen IT-Sicherheitsstrategien und intelligenten Abwehrlösungen gibt es hier sowie in unserem Trust Center. Mehr zur Arbeit unserer Sicherheitsexpert*innen sind in dieser Feature Story zu finden.
Ein Beitrag von Stratos Komotoglou
Senior Subsidiary Product Marketing Manager Microsoft 365 Security bei Microsoft Deutschland
@HerrStratos
