Microsoft stoppt Cyberattacken gegen internationale Konferenzteilnehmer*innen

Es ist uns gelungen, eine Serie von Cyber-Angriffen der Gruppe Phosphorus aufzudecken und Maßnahmen zu ergreifen, um diese zu beenden. Die Angriffe richteten sich gegen mehr als 100 Personen mit hohem Bekanntheitsgrad. Die Cyber-Spionage-Gruppe Phosphorus aus dem Iran hat sich für diese Operation als Organisator von Konferenzen ausgegeben und so mögliche Teilnehmer*innen des bevorstehenden Think 20 (T20)-Summits in Saudi-Arabien sowie der Münchner Sicherheitskonferenz im Februar 2021 ins Visier genommen. Die Münchner Sicherheitskonferenz ist die wichtigste Zusammenkunft zum Thema Sicherheit für Staatoberhäupter und Entscheider weltweit und findet seit fast 60 Jahren jährlich statt. Die T20 ist eine weithin bekannte Konferenz, die politische Ideen für die G20-Nationen prägt und über deren kritische Diskussionen informiert. Nach unseren bisherigen Erkenntnissen gibt es bei den Angriffen keine Verbindungen zu den Wahlen in den USA.

Die Angreifer*innen haben gefälschte Einladungen per E-Mail an ehemalige Regierungsbeamt*innen Politik-Expert*innen, Wissenschaftler*innen und Führungskräfte von Nicht-Regierungs-Organisationen geschickt. Das Englisch in den E-Mails war dabei nahezu perfekt. Um die Reiseängste während der COVID-19-Pandemie zu zerstreuen, bot Phosphorus den Adressaten an, remote an den Konferenzen teilzunehmen.

Wir glauben, dass Phosphorus sich auf diese Weise Informationen beschaffen wollte. Tatsächlich waren die Angreifer*innen damit in manchen Fällen wohl auch erfolgreich – unter anderem bei einem ehemaligen Botschafter sowie anderen hochrangigen politischen Akteur*innen, die die Außenpolitik ihrer jeweiligen Länder mitgestalten.

Abbildung 1: Ablauf eines typischen Angriffs durch Phosphorus in dieser Angriffsserie.

Grafik: Ablauf eines typischen Angriffs durch Phosphorus in dieser Angriffsserie

Diese kriminellen Aktivitäten wurden vom Threat Intelligence Information Center (MSTIC) von Microsoft aufgedeckt, das weltweit staatliche sowie nicht-staatliche Cybercrime-Akteure trackt und so unsere Kunden schützt. Das MSTIC ist auch für die Arbeit unseres Programms Defending Democracy von entscheidender Bedeutung, da es unseren in 30 Ländern weltweit verfügbaren Microsoft AccountGuard  -Bedrohungsbenachrichtigungsdienst betreibt und die Informationen, die wir austauschen, zur Sicherung von Wahlen nutzt. Wir bauen regelmäßig neue Schutzmechanismen in unsere Produkte ein, die auf den von MSTIC aufgedeckten Bedrohungen basieren.

Mit unseren Erkenntnissen gehen wir offen um, damit alle wachsam bleiben und prüfen können, ob vergleichbare Attacken im Umfeld anderer Konferenzen zu beobachten sind.

Wir empfehlen allen Nutzer*innen, die Authentizität von E-Mails zu prüfen, die sie von großen Konferenzen erhalten. Dafür sollten sie verifizieren, ob die Absenderadresse zutreffend ist und alle in der E-Mail eingebetteten Links auch auf die offizielle Domain der Konferenz verweisen. Eine Multi-Faktor-Authentifizierung sowohl bei geschäftlichen wie auch bei privaten E-Mail-Konten kann solche Angriffe, die es auf die Anmelde-Informationen der Nutzer*innen abgesehen haben, erfolgreich verhindern.

Für alle, die vermuten, dass sie ein Opfer dieser Angriffsserie gewesen sein könnten, empfehlen wir, die Regeln für das Weiterleiten von E-Mails zu prüfen und verdächtig erscheinende Regeln zu entfernen. Während eines erfolgreichen Angriffs wurden möglicherweise neue Regeln erstellt.

Wir teilen auch die Indicators of Compromise (IoCs), die während dieser Angriffe beobachtet wurden. Wir ermutigen IT-Teams, Analyse- und Schutzmaßnahmen zu implementieren, um mögliche künftige Attacken zu identifizieren. Dazu gehören gefälschte E-Mail-Adressen und Domains sowie Websites, mit deren Hilfe den Opfern Anmeldeinformationen gestohlen werden sollten.

 

Indikator Typ Beschreibung
t20saudiarabia[@]outlook.sa E-Mail Getarnt als Organisator der Think 20 (T20) Konferenz
t20saudiarabia[@]hotmail.com E-Mail Getarnt als Organisator der Think 20 (T20) Konferenz
t20saudiarabia[@]gmail.com E-Mail Getarnt als Organisator der Think 20 (T20) Konferenz
munichconference[@]outlook.com E-Mail Getarnt als Organisator der Münchner Sicherheitskonferenz
munichconference[@]outlook.de E-Mail Getarnt als Organisator der Münchner Sicherheitskonferenz
munichconference1962[@]gmail.com E-Mail Getarnt als Organisator der Münchner Sicherheitskonferenz
de-ma[.] Online Domain Domain, die für das Abgreifen von Anmeldeinformationen verwendet wird
g20saudi.000webhostapp[.] Com Subdomain Subdomain, die für das Abgreifen von Anmeldeinformationen verwendet wird
ksat20.000webhostapp[.] Com Subdomain Subdomain, die für das Abgreifen von Anmeldeinformationen verwendet wird

Wie wir bereits in unserem jüngsten Digital Defense Report festgestellt haben, verfolgen nationale Cyber-Angreifer*innen routinemäßig Think Tanks, politische Organisationen sowie Regierungs- und Nicht-Regierungs-Organisationen und suchen nach Informationen, die sie ausnutzen können. Wir setzen auch weiterhin auf eine Kombination aus Technologie und rechtlichen Schritten und Richtlinienum böswillige Aktivitäten zu stören und zu verhindern. Dennoch mahnen Aktivitäten wie diese, weiterhin wachsam für die Bedrohungen im Cyberspace zu sein. Nichts kann jedoch die Wachsamkeit all jener ersetzen, die das Ziel solcher Angriffe sind.


Tom Burt
Corporate Vice President, Microsoft Security and Trust

Tom Burt

Tags:

Weitere Infos zu diesem Thema

13. Oktober 2020
Neue Maßnahme zur Bekämpfung von Ransomware vor den Wahlen in den USA

Trickbot: Wir haben Maßnahmen ergriffen, um eines der berüchtigsten Botnetze der Welt unschädlich zu machen. In unserem Blogbeitrag erfahrt ihr, wie Microsoft dem in Partnerschaft mit Telekommunikationsanbietern auf der ganzen Welt ein Ende setzen konnte und inwiefern Finanzdienstleistungsinstitute, Regierungsbehörden, Gesundheitseinrichtungen, Unternehmen und Universitäten davon jetzt profitieren.

22. Oktober 2020
Ein Update zur Bekämpfung von Trickbot

Vor einer Woche haben wir Maßnahmen zur Bekämpfung des Botnets Trickbot ergriffen. Das weltweit verzweigte Netzwerk wird für kriminelle Aktivitäten missbraucht, zum Beispiel für die Verbreitung sogenannter Ransomware („Erpressersoftware“). Unser Eingriff erfolgte mit dem Ziel, die Infrastruktur von Trickbot lahmzulegen. So sind die Betreiber*innen des Botnet nicht mehr in der Lage, neue Infektionen zu verursachen oder Ransomware auf schon infizierten Systemen zu aktivieren. Das ist besonders für die bevorstehenden Präsidentschaftswahlen in den USA am 3. November wichtig.