Microsoft hat weitere Details zu einer jüngsten Cyberangriffskampagne bekannt gegeben, die von der russischen staatlich geförderten Gruppe organisiert wurde, die für den verheerenden SolarWinds-Hack im letzten Jahr verantwortlich gemacht wird. Die Cybersicherheitsexperten des Unternehmens warnten davor, dass Nobelium erneut versucht, auf Regierungs- und Unternehmensnetzwerke auf der ganzen Welt zuzugreifen, obwohl Präsident Joe Biden Russland wegen früherer Cyberangriffe sanktioniert hat.
Laut Microsoft verfolgt der Konzern dieselbe Strategie, die er bei dem erfolgreichen SolarWinds-Angriff verwendet hat – und zielt auf Unternehmen ab, deren Produkte Kernbestandteile globaler IT-Systeme sind. Bei dieser Kampagne hat sich Nobelium laut Microsoft auf einen anderen Aspekt der IT-Lieferkette konzentriert, nämlich auf Wiederverkäufer und Serviceanbieter, die Cloud-Dienste und andere Technologien anbieten.
Das Unternehmen hat nach eigenen Angaben mehr als 140 Anbieter und Wiederverkäufer darüber informiert, dass die Gruppe sie ins Visier genommen hat. Es geht davon aus, dass Nobelium bis zu 14 Netzwerke dieser Unternehmen durchbrochen hat. Microsoft sagt jedoch, dass es die Kampagne, die nicht mit dem Sunburst-Angriff auf SolarWinds zusammenhängt, im Anfangsstadium im Mai entdeckt hat, was dazu beitragen sollte, die Auswirkungen abzuschwächen.
Microsoft stellt fest, dass diese Hacking-Versuche Teil einer riesigen Serie von Angriffen sind, die Nobelium in den letzten Monaten durchgeführt hat. Zwischen dem 1. Juli und dem 19. Oktober teilte das Unternehmen 609 seiner Kunden mit, dass Nobelium 22.868 Mal versucht habe, sie zu hacken, mit weniger als 10 Erfolgen. In den drei Jahren vor dem 1. Juli hat Microsoft seinen Kunden etwa 20.500 Angriffe von allen nationalstaatlichen Akteuren mitgeteilt – nicht nur von Nobelium.
„Diese neueste Aktivität teilt die Markenzeichen von Nobeliums Kompromiss-eins-zu-Kompromiss-viele-Ansatz und der Verwendung eines vielfältigen und dynamischen Toolkits, das ausgeklügelte Malware, Passwort-Sprays, Angriffe auf die Lieferkette, Token-Diebstahl und API-Missbrauch umfasst [and] Spear-Phishing”, Microsofts Security Intelligence Division schrieb in einem Tweet. Nobelium ist auch als Cosy Bear und APT29 bekannt.
Im Jahr 2020 haben Hacker in einem SolarWinds-Produkt namens Orion eine Hintertür geschaffen, die von rund 30.000 Kunden im öffentlichen und privaten Sektor genutzt wurde. Nobelium soll weitere Hacks auf die Systeme von neun US-Behörden und rund 100 Unternehmen durchgeführt haben. Andere Hacker schlichen sich huckepack an die Hintertür, um ihre eigenen Angriffe zu ermöglichen. Die USA sanktionierten im April sechs russische Unternehmen und 32 Einzelpersonen und Körperschaften wegen angeblichen Fehlverhaltens im Zusammenhang mit dem Angriff von SolarWinds und Versuchen, die Präsidentschaftswahlen 2020 zu stören.
„Diese jüngste Aktivität ist ein weiterer Indikator dafür, dass Russland versucht, einen langfristigen, systematischen Zugang zu einer Vielzahl von Punkten in der Technologielieferkette zu erlangen und einen Mechanismus zur Überwachung – jetzt oder in Zukunft – von Zielen zu schaffen, die für die russische Regierung von Interesse sind. ” Tom Burt, Microsofts Corporate Vice President für Kundensicherheit und Vertrauen, schrieb in einem Blogbeitrag.