Wie Chinas Angriff auf Microsoft zu einem rücksichtslosen Hacking-Rausch eskalierte

Microsoft-Präsident Brad Smith sagt vor dem Kongress aus

Demetrius Freeman-Pool/Getty Images





Zunächst führten die chinesischen Hacker eine vorsichtige Kampagne durch. Zwei Monate lang nutzten sie Schwachstellen in Microsoft Exchange-E-Mail-Servern aus, wählten ihre Ziele sorgfältig aus und stahlen heimlich ganze Postfächer. Als die Ermittler schließlich herausfanden, sah es nach typischer Online-Spionage aus – aber dann beschleunigten sich die Dinge dramatisch.

Um den 26. Februar drehte sich die enge Operation in etwas viel Größeres und viel chaotischer. Nur wenige Tage später veröffentlichte Microsoft die Hacks – die Hacker sind jetzt als Hafnium bekannt – und veröffentlichte einen Sicherheitsfix. Aber bis dahin suchten Angreifer im gesamten Internet nach Zielen: zusätzlich zu Zehntausenden von gemeldet Opfer in den USA sind Regierungen auf der ganzen Welt ankündigen dass sie auch kompromittiert wurden. Jetzt nutzen mindestens 10 Hackergruppen, die meisten von ihnen von der Regierung unterstützte Cyberspionageteams, die Schwachstellen auf Tausenden von Servern in über 115 Ländern aus. gemäß an die Sicherheitsfirma ESET.

Wie Datentreuhänder die Privatsphäre schützen können

Wir können nicht erwarten, dass Menschen alleine durch die verwirrende Welt der Datenerfassung navigieren. Es ist Zeit, sich zusammenzuschließen.



Während Präsident Joe Biden nachdenkt Vergeltung gegen das Russische Hacker, deren Angriff auf ein anderes Softwareunternehmen, SolarWinds , der im Dezember öffentlich wurde, ist der Hafnium-Hack zu einem enormen Free-for-all geworden, und seine Folgen könnten noch schlimmer sein. Während Experten sprinten, um die Löcher zu schließen, die durch das chinesische Hacking entstanden sind, sagen Beamte, dass die amerikanische Regierung sich genau darauf konzentriert, was neben Tausenden von neu anfälligen Servern passiert – und wie sie auf China reagieren soll.

Die Tore stehen jedem Angreifer weit offen, der irgendetwas mit Ihrem Exchange-Server und dem Rest Ihres Netzwerks anstellen will, sagt Sean Koessel, Vizepräsident bei Volexity, der Cybersicherheitsfirma, die geholfen hat, die Hacking-Aktivitäten aufzudecken. Der beste Fall ist Spionage – jemand, der nur Ihre Daten stehlen will. Im schlimmsten Fall dringt Ransomware ein und verteilt sie im gesamten Netzwerk.

Bei der Unterscheidung zwischen den beiden Angriffen geht es nicht nur um technische Details oder sogar darum, welches Land sie begangen hat. Obwohl 18.000 Unternehmen die kompromittierte SolarWinds-Software heruntergeladen haben, war die Zahl der echten Angriffsziele nur ein Bruchteil dieser Größe. Hafnium hingegen war viel wahlloser.



Beide begannen als Spionagekampagnen, aber der Unterschied besteht wirklich darin, wie sie durchgeführt wurden, sagt Dmitri Alperovitch, Vorsitzender des Silverado Policy Accelerator. Die russische SolarWinds-Kampagne wurde sehr sorgfältig durchgeführt, bei der die Russen die Ziele verfolgten, die ihnen wichtig waren, und sie überall sonst den Zugang sperrten, sodass weder sie noch irgendjemand sonst in die Ziele gelangen konnte, die nicht von Interesse waren.

Vergleichen Sie das mit der chinesischen Kampagne, sagt er.

Am 27. Februar erkennen sie, dass der Patch herauskommen wird, und sie scannen buchstäblich die Welt, um jeden zu gefährden. Sie hinterließen Web-Shells, die es nun anderen ermöglichen können, in diese Netzwerke einzudringen, möglicherweise sogar Ransomware-Akteuren. Deshalb ist es sehr rücksichtslos, gefährlich und es muss darauf reagiert werden.



Massenausbeutung

Der Beginn der Hafnium-Kampagne sei sehr unterbewertet gewesen, sagt Koessel.

Das Hacking wurde von den meisten Sicherheitsüberprüfungen übersehen: Es wurde nur entdeckt, als Volexity seltsame und spezifische Internetverkehrsanfragen an die Kunden des Unternehmens bemerkte, die ihre eigenen Microsoft Exchange-E-Mail-Server betrieben.

Eine einmonatige Untersuchung ergab, dass vier seltene Zero-Day-Exploits verwendet wurden, um ganze Postfächer zu stehlen – potenziell verheerend für die beteiligten Personen und Unternehmen, aber zu diesem Zeitpunkt gab es nur wenige Opfer und der Schaden war relativ begrenzt. Volexity arbeitete wochenlang mit Microsoft zusammen, um die Schwachstellen zu beheben, aber Koessel sagt, er habe Ende Februar eine große Veränderung gesehen. Nicht nur die Zahl der Opfer begann zu steigen, sondern auch die Zahl der Hackergruppen nahm zu.



Es ist nicht klar, wie mehrere staatliche Hackergruppen auf die Zero-Day-Schwachstellen aufmerksam wurden, bevor Microsoft eine öffentliche Ankündigung machte. Warum also explodierte das Ausmaß der Ausbeutung? Vielleicht, so vermuten einige, haben die Hacker erkannt, dass ihre Zeit fast abgelaufen ist. Wenn sie wussten, dass ein Patch kommt, wie haben sie es herausgefunden?

Ich denke, es ist sehr ungewöhnlich, dass so viele verschiedene [fortgeschrittene Hacker]-Gruppen Zugriff auf den Exploit für eine Schwachstelle haben, während die Details nicht öffentlich sind, sagt Matthieu Faou, der die Forschung zu den Exchange-Hacks für ESET leitet. Es gibt zwei große Möglichkeiten, sagt er. Entweder wurden die Details der Schwachstellen irgendwie an die Bedrohungsakteure weitergegeben, oder ein anderes Schwachstellenforschungsteam, das für die Bedrohungsakteure arbeitet, entdeckte unabhängig dieselbe Gruppe von Schwachstellen.

Volexity beobachtete, wie Hafnium einen Monat lang in Netzwerken lauerte, und unternahm Schritte, um sie rauszuschmeißen, bevor Microsoft einen Patch veröffentlichte. Das könnte der Auslöser gewesen sein, der Hafnium eskalieren ließ. Oder, schlägt Alperovitch vor, die Hacker hätten einen anderen Weg finden können, dass ein Patch kommen würde – Sicherheitsteams aus der ganzen Branche, einschließlich denen von Microsoft, tauschen regelmäßig Informationen über Schwachstellen und Fixes im Voraus aus. Nachdem Microsoft die öffentliche Ankündigung gemacht hatte, schlossen sich noch mehr Hackergruppen dem Kampf an.

Am Tag nach der Veröffentlichung der Patches begannen wir zu beobachten, dass viele weitere Bedrohungsakteure massenhaft Exchange-Server scannen und kompromittieren, sagt Faou. Alle außer einer der aktiven Hacking-Gruppen sind bekannte, von der Regierung unterstützte Hacking-Teams, die sich auf Spionage konzentrieren. Es sei jedoch unvermeidlich, dass immer mehr Bedrohungsakteure, einschließlich Ransomware-Betreiber, früher oder später Zugriff auf die Exploits haben, sagt er.

Als die Aktivität zunahm, stellte Volexity eine weitere Verhaltensänderung fest: Hacker hinterließen Web-Shells, als sie in diese Systeme eindrangen. Dabei handelt es sich um einfache Hacking-Tools, die einen dauerhaften Hintertürzugriff auf infizierte Computer ermöglichen, damit der Hacker sie kontrollieren kann. Sie können effektiv sein, sind aber auch relativ laut und leicht zu erkennen.

Sobald Hacker eine Shell auf einem Computer abgelegt haben, können sie immer wieder zurückkehren, bis sie bereinigt wurde – selbst das Beheben der ursprünglich schuldhaften Schwachstellen wird die Shells nicht säubern. Aber die Web-Shell selbst ist kaum gesichert und kann von anderen Hackern kooptiert werden – zuerst um in die Exchange-Server einzudringen und E-Mails zu stehlen und dann ganze Netzwerke anzugreifen.

Es ist eine Tür mit einem leicht zu knackenden Schloss, sagt Alperovitch, ein Mitbegründer der Sicherheitsfirma CrowdStrike, der das Unternehmen letztes Jahr verlassen hat.

Eine andere Herausforderung

Das Hacking nimmt weiter zu. Microsoft unternahm am Montag den seltenen Schritt, Sicherheitspatches für nicht unterstützte Versionen von Exchange zu veröffentlichen, die normalerweise zu alt wären, um sie zu sichern – ein Zeichen dafür, wie schwerwiegend das Unternehmen den Angriff einschätzt. Microsoft lehnte eine Stellungnahme ab.

Während das Weiße Haus eine Antwort abwägt, wächst das Risiko. Die Biden-Regierung befasst sich langsam mit der ausgeklügelten Spionage von SolarWinds, aber das Chaos der Hafnium-Hacks stellt eine ganz andere Herausforderung dar – sowohl bei der Behebung des Problems als auch bei der Reaktion auf dahinter stehende Hacker.

Es muss eine Botschaft an die Chinesen gesendet werden, dass dies inakzeptabel ist, argumentiert Alperovitch. Die USA müssen klarstellen, dass wir sie für alle Schäden zur Rechenschaft ziehen werden, die dadurch entstehen, dass kriminelle Akteure diesen Zugang nutzen, sagt er, und wir müssen sie dazu drängen, diese Web-Shells so schnell wie möglich von allen Opfern zu entfernen.

verbergen