Hackergruppen attackieren lokale SharePoint-Server
Microsoft hat einen großangelegten Hackerangriff auf seine lokal betriebenen SharePoint-Server gemeldet. Die Attacke traf nur On-Premises-Systeme, nicht den Cloud-Dienst des Unternehmens. Laut Microsoft stahlen die Angreifer Daten zahlreicher Firmen über bekannte Schwachstellen. Hinter dem Angriff stehen die Gruppen Linen Typhoon, Violet Typhoon und Storm-2603. Sie agieren laut Microsoft aus China oder handeln im staatlichen Auftrag.
Microsoft reagiert sofort mit Sicherheitsupdate
Der Konzern veröffentlichte ein Update und forderte alle Kunden zur sofortigen Installation auf. „Die Untersuchung zu weiteren Tätern ist noch nicht abgeschlossen“, teilte Microsoft mit. Der Konzern geht davon aus, dass ungepatchte Systeme weiterhin stark gefährdet sind. Die Angreifer setzen gezielt auf fehlende Sicherheitsmaßnahmen in Unternehmensnetzwerken.
Hacker verschaffen sich Zugang durch gestohlene Schlüssel
Die Angreifer sendeten speziell gestaltete Anfragen an SharePoint-Server. So konnten sie kryptografisches Schlüsselmaterial entwenden. Mit diesen Schlüsseln erhielten sie dauerhaft Zugriff auf sensible Firmendaten.
Sicherheitsfirma bestätigt Angriffe auf mehreren Kontinenten
Charles Carmakal, Technikchef von Mandiant Consulting, einem Tochterunternehmen von Google Cloud, bestätigte weltweite Vorfälle. Die Angriffe richteten sich gegen Unternehmen und Behörden mit lokalen SharePoint-Systemen. Carmakal spricht von breit gestreuten, opportunistischen Angriffen vor Veröffentlichung des Microsoft-Patches. Die Täter nutzten das Zeitfenster vor dem Update konsequent aus.
Hackergruppen verfolgen gezielte Spionagestrategien
Linen Typhoon betreibt laut Microsoft seit über 13 Jahren digitale Spionage. Die Gruppe greift Organisationen aus Regierung, Verteidigung und Menschenrechtsarbeit an. Violet Typhoon konzentriert sich auf politische, wissenschaftliche und gesellschaftliche Ziele. Betroffen sind unter anderem NGOs, Universitäten, Medien und Gesundheitseinrichtungen. Storm-2603 wird als China-basierte Gruppe mit mittlerem Risiko eingestuft.
Weitere Details werden laufend veröffentlicht
Microsoft kündigte regelmäßige Updates im eigenen Sicherheitsblog an. Neue Erkenntnisse sollen dort zeitnah veröffentlicht werden. Die Ermittlungen zu den Angriffen laufen weiter. Unternehmen sollen dringend ihre Systeme absichern.
