Eine Hackergruppe infiltriert unbemerkt das Netzwerk eines multinationalen Konzerns – für 243 Tage. Sie hat Zugriff auf sensible Daten, Unternehmensgeheimnisse und E-Mails. Das Microsoft Detection and Response Team (DART) greift ein und beendet die Industriespionage. Doch wie konnte es soweit kommen? Die Analyse zeigt: Vermutlich begann alles mit einem unsicheren Passwort – und es gab noch weitere unentdeckte Angriffe.
Passwörter spielen in der digitalen Welt noch immer eine große Rolle. Im Rahmen unserer Gewusst wie-Reihe geben wir euch nützliche Tipps, wie ihr ein sicheres Passwort erstellt – oder am besten ganz darauf verzichtet. Denn unsere Sicherheitsexperten erleben jeden Tag, welche Schäden unsichere Passwörter verursachen können. Sie sind das Einfallstor für Kriminelle, die nicht nur persönliche Nachrichten, intime Bilder oder Kreditkartennummern von Privatpersonen stehlen, sondern auch sensible Geschäftsgeheimnisse. Aus dem Verizon Data Breach Investigations Report geht hervor, dass im vergangenen Jahr fast ein Drittel aller erfolgreichen Angriffe mit gestohlenen Zugangsdaten durchgeführt wurden.
Heute teilen wir deshalb die reale Geschichte eines Cyberangriffs von organisierten Kriminellen auf ein internationales Großunternehmen. Ein Fall, in dem eine APT-Gruppe (Advanced Persistent Threat) die IT-Infrastruktur eines Unternehmens erfolgreich attackierte und so Zugang zu Geschäftsgeheimnissen hatte – acht Monate lang, unerkannt. Das Unternehmen und auch die Branche bleiben aus Sicherheitsgründen ungenannt, ebenso wie eine detaillierte Beschreibung der damaligen Sicherheitsvorkehrungen.
Tag 0 – Wie der Angriff aufflog, aber nicht endete
Ein einzelnes kompromittiertes E-Mail-Konto war das erste Anzeichen, dass etwas nicht stimmte. Die IT-Abteilung des Unternehmens versuchte, das Konto wiederherzustellen, es zu sichern. Doch der Angriff setzte sich fort. Der Konzern wandte sich an einen externen Sicherheitsanbieter.
Es begann eine siebenmonatige Untersuchung, die aufdeckte, dass Cyberkriminelle nicht nur Zugang zum E-Mail-Konto eines Beschäftigten hatten, sondern auch sensible Informationen des Opfers und seiner Kund*innen stahlen. Das war der Moment, in dem sich der Konzern entschied, das Microsoft Detection and Response Team (DART) hinzuzuziehen.
Das Team, das niemand kennenlernen möchte
Unser Microsoft Detection and Response Team ist eine Gruppe von Spezialist*innen, von denen Unternehmen hoffen, sie nie kennenlernen zu müssen. Ihre Aufgabe: kompromittierte Systeme retten. Als Teil der Microsoft Consulting Services (MCS) hat das DART einen einzigartigen Fokus. Es nutzt die strategischen Partnerschaften von Microsoft mit Sicherheitsorganisationen auf der ganzen Welt und arbeitet eng mit anderen Microsoft-Abteilungen zusammen. Das Team hilft vor Ort oder aus der Ferne und wird von Regierungsstellen und Konzernen angefragt, um ihre sensiblen und kritischen IT-Umgebungen zu sichern.
Die Microsoft-Spezialist*innen begannen ihre Untersuchung an Tag 244 des Angriffs. Sie fanden heraus, dass die Hacker*innen in den E-Mails gezielt nach Informationen aus bestimmten Weltregionen und Marktsegmenten suchten. Ein Zeichen, dass es sich bei dieser Attacke um Industriespionage handelte. Ungewöhnlich war jedoch, wie die Angreifer*innen die Informationen innerhalb des Netzwerks suchten.
Die Hackergruppe nutzte vorhandene Microsoft-Lösungen des Konzerns für ihre eigenen Zwecke, etwa Microsoft Flow und eDiscovery, eine Compliance-Suchfunktion. Sie aktivierten vorhandene Systeme, die das Unternehmen nicht aktiv nutzte oder konfiguriert hatte. Die Angreifer*innen automatisierten so die Suche nach Daten und deren Diebstahl mit den Programmen ihres Opfers. Aber wie konnten die Hacker*innen überhaupt soweit vordringen?
Wie sich die Angreifer*innen Zugriff verschafften
Die Untersuchungen des DART zeigen, dass die Angreifer*innen eine Passwortspray-Attacke genutzt haben. Eine Technik, die auf das zielt, wovor immer gewarnt wird: einfache Passwörter. Im Trial-and-Error-Verfahren setzten die Cyber-Kriminellen die gängigsten Passwörter ein, um sich Zugang zu verschaffen. Im Fall des hier betroffenen Unternehmens zielten die Hacker*innen auf die Administrator-Zugangsdaten ab. Eine Zwei-Faktor-Authentifizierung hätte die Angreifer*innen an dieser Stelle stoppen können – oder den Angriff zumindest verlangsamt.
Einmal in das Netzwerk des Unternehmens gelangt, verschanzten sich die Angreifer*innen regelrecht. Sie nutzten die gestohlenen Zugangsdaten, um das Postfach nach weiteren Zugängen zu durchsuchen. Wurden sie fündig, wurde der nächste Posteingang durchforstet. Schritt für Schritt arbeiteten sich die Angreifer*innen durch die Geheimnisse des Unternehmens, die angehängten Dateien, die Kommunikation mit Kund*innen.
Plötzlich waren es fünf Angreifer*innen
244 Tage nachdem die Attacke begann, identifizierten die Spezialist*innen von Microsoft schnell die gezielten Postfachdurchsuchungen und kompromittierten Konten sowie die Befehls- und Kontrollkanäle der Hacker*innen. Die akute Bedrohung war gestoppt – doch während ihrer Analyse entdeckte das DART, dass fünf weitere Angriffe in der Umgebung des Konzerns noch andauerten. Angriffe, die früher begannen als die ursprünglich entdeckte Attacke – und bei denen Daten des Unternehmens über die von den Hacker*innen gelegten Zugangskanäle extrahiert wurden.
Das DART analysierte alle Systeme des Konzerns, bis das Unternehmen die Kontrolle über sein Netzwerk vollständig wiedererlangte. Gemeinsam entwickelten sie einen Plan, um zukünftige Angriffe zu verhindern, das Netzwerk besser zu überwachen – und Attacken frühzeitig zu erkennen.
Eine Welt ohne Passwörter: Wie der Angriff hätte verhindert werden können
Microsoft bietet eine Vielzahl von Sicherheitslösungen, die Unternehmen vor solchen Attacken schützen können. Was hätte im konkreten Fall geholfen?
Mit einer Multi-Faktor-Authentifizierung hätten die Angreifer*innen keinen leichten Zugang auf ein Administrator-Benutzerkonto des Unternehmens gehabt. Geschulte Beschäftigte hätten wohlmöglich früher Warnsignale über das Ausmaß des Angriffs erkennen können. Ein effektiveres Management der Zugangsberechtigungen hätte Suchen über die gesamte Office 365-Umgebung verhindern können. Unternehmenseigene Tools und Software werden immer noch häufig von Angreifer*innen gegen das Unternehmen selbst gerichtet. Deshalb ist es wichtig, dass Sicherheitstools Protokolle dieser Systeme sammeln, um die unbefugte Nutzung so schnell wie möglich zu bemerken. Bei Microsoft setzen wir auf die Expertise unserer mehr als 3.500 Sicherheitsexpert*innen sowie auf künstliche Intelligenz und Machine Learning, um Angriffe frühzeitig zu erkennen, zu analysieren, zu beheben oder präventiv zu verhindern. Mehr als 8 Billionen Signale werten unsere Sicherheitslösungen dazu pro Tag aus. Mehr Info bietet dazu unser Trust Center.
Um das Einfallstor für Kriminelle – das Passwort – ganzheitlich zu eliminieren, streben wir bei Microsoft eine passwortlose Welt an. So ermöglichen wir Unternehmenskunden bereits seit Anfang des Jahres, sich ganz ohne Passwort bei ihrem Microsoft-Konto anzumelden. Seit September 2021 wird diese Funktion auch für Privatpersonen eingeführt.
Wichtig ist: Jedes Unternehmen und jede Privatperson läuft Gefahr Opfer eines solchen Angriffs zu werden. Pro Sekunde greifen Cyberkriminelle die Zugänge zu online erreichbaren Konten 579-mal an – das sind pro Jahr rund 18 Milliarden Angriffsversuche. Und in manchen Fällen hilft schon ein besseres Passwort, um einen solchen Angriff zu verhindern.
Ein Beitrag von Charlotte Reimann
Communications Manager Modern Work & Security bei Microsoft Deutschland
