Deutsch 
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Abhilfe für China
11. Juli 2023 | Charlie Bell – Executive Vice President, Microsoft Security
Microsoft und andere in der Branche haben Transparenz bei Cybervorfällen gefordert, damit wir lernen und besser werden können. Wie bereits erwähnt, können wir den exponentiellen Anstieg und die Häufigkeit raffinierter Angriffe nicht ignorieren. Die wachsenden Herausforderungen, vor denen wir stehen, verstärken nur unser Engagement für einen besseren Informationsaustausch und eine stärkere Partnerschaft mit der Industrie.
Heute veröffentlichen wir Details zu den Aktivitäten eines in China ansässigen Akteurs, den Microsoft als Storm-0558 verfolgt und der sich Zugriff auf E-Mail-Konten von etwa 25 Organisationen, darunter Regierungsbehörden, sowie zugehörige Verbraucherkonten von Personen verschafft hat, die wahrscheinlich mit diesen Organisationen in Verbindung stehen. Wir haben mit den betroffenen Kunden zusammengearbeitet und sie vor der Veröffentlichung über weitere Einzelheiten informiert. In dieser Phase – und in Abstimmung mit Kunden – teilen wir die Details des Vorfalls und des Bedrohungsakteurs zum Nutzen der Branche.
Cyberangriffe werden immer raffinierter und häufiger
Motivierte Bedrohungsakteure konzentrieren sich weiterhin auf die Kompromittierung von IT-Systemen. Diese gut ausgestatteten Angreifer machen keinen Unterschied zwischen dem Versuch, geschäftliche oder private Konten von Zielorganisationen zu kompromittieren, da nur eine erfolgreich kompromittierte Kontoanmeldung erforderlich ist, um dauerhaft Zugriff zu erhalten, Informationen zu exfiltrieren und Spionageziele zu erreichen. Der Bedrohungsakteur, den Microsoft mit diesem Vorfall in Verbindung bringt, ist ein in China ansässiger Angreifer, den Microsoft Storm-0558 nennt. Unserer Einschätzung nach konzentriert sich dieser Angreifer auf Spionage, beispielsweise auf den Zugriff auf E-Mail-Systeme zur Informationsbeschaffung. Diese Art von durch Spionage motivierten Angreifern versucht, Zugangsdaten zu missbrauchen und sich Zugang zu Daten in sensiblen Systemen zu verschaffen.
Schadensbegrenzung für alle Kunden abgeschlossen
Am 16. Juni 2023 begann Microsoft auf der Grundlage von Kundeninformationen mit einer Untersuchung ungewöhnlicher E-Mail-Aktivitäten. Im Laufe der nächsten Wochen ergab unsere Untersuchung, dass Storm-0558 ab dem 15. Mai 2023 Zugriff auf E-Mail-Daten von etwa 25 Organisationen und eine kleine Anzahl zugehöriger Verbraucherkonten von Personen erhielt, die wahrscheinlich mit diesen Organisationen in Verbindung stehen. Dazu nutzten sie gefälschte Authentifizierungstoken, um mithilfe eines erworbenen Microsoft-Konto-Consumer-Signaturschlüssels (MSA) auf die E-Mails der Benutzer zuzugreifen. Microsoft hat die Abwehr dieses Angriffs für alle Kunden abgeschlossen.
Wir haben umfangreiche automatisierte Erkennungen für bekannte Anzeichen einer Kompromittierung im Zusammenhang mit diesem Angriff hinzugefügt, um die Abwehr und die Kundenumgebungen zu stärken, und wir haben keine Hinweise auf einen weiteren Zugriff gefunden.
Eine koordinierte Reaktion ist der Schlüssel zur schnellen Schadensbegrenzung
Dank der Echtzeituntersuchung und Zusammenarbeit mit Kunden von Microsoft können wir Schutzmaßnahmen in der Microsoft Cloud anwenden, um unsere Kunden vor den Einbruchsversuchen von Storm-0558 zu schützen. Wir haben den Angriff entschärft und betroffene Kunden kontaktiert. Wir arbeiten auch mit relevanten Regierungsbehörden wie dem DHS CISA zusammen. Wir sind dankbar, dass sie und andere mit uns zusammenarbeiten, um betroffene Kunden zu schützen und das Problem anzugehen. Wir sind unserer Community für eine schnelle, starke und koordinierte Reaktion dankbar.
Weitere Details zur Unterstützung unserer Kunden und der Defender-Community finden Sie hier.
Verantwortung beginnt bei uns
Die Verantwortung beginnt genau hier bei Microsoft. Wir bleiben unserem Engagement für die Sicherheit unserer Kunden treu. Wir führen kontinuierlich eine Selbstevaluierung durch, lernen aus Vorfällen und stärken unsere Identitäts-/Zugriffsplattformen, um die sich entwickelnden Risiken im Zusammenhang mit Schlüsseln und Token zu bewältigen.
Wir müssen in puncto Sicherheit weiterhin neue Maßstäbe setzen, um auf alles vorbereitet zu sein, was auf uns zukommt. Wir werden weiterhin mit unseren Kunden und der Community zusammenarbeiten, um Informationen auszutauschen und unsere kollektive Verteidigung zu stärken.