Solarwinds-Hacker suchen neue Ziele

Microsoft warnt vor Attacken auf Behörden und Organisationen

Angriff aus der Tiefe
© Kovalenko I - AdobeStock

In den vergangenen Tagen haben Sicherheitsexperten von Microsoft eine neue weltweite Angriffswelle der Solarwinds-Hacker Nobelium registriert. Diese versuchen nun offenbar gezielt Behörden, NGOs, Berater und Think-Tanks anzugreifen.

Die russischen Solarwinds-Hacker von Nobelium sind zurück und haben eine neue Strategie entwickelt. Darauf deuten Beobachtungen hin, die Microsofts Sicherheitsabteilung Threat Intelligence Center (MSTIC) in dieser Woche gemacht hat. Wie der für Security verantwortliche Corporate Vice President Tom Burt in einem Blogbeitrag warnt, wurden gezielte Attacken der Gruppe auf mehr als 3.000 E-Mail-Konten von über 150 verschiedenen Organisationen in mindestens 24 Ländern registriert. Auffällig ist dabei vor allem, dass die Hacker ihr Augenmerk bei der neuen Angriffswelle nicht auf Unternehmen legen, sondern versuchen, darüber die Systeme von Behörden, NGOs, Beratern und Think-Tanks zu kompromittieren. Laut Burt handelt es sich bei mehr als einem Viertel der Angegriffenen um Organisationen, die in der internationalen Entwicklungs-, humanitären und Menschenrechtsarbeit tätig sind.

Ausgangspunkt des Angriffs war ein gehackter Account der US-Behörde für internationale Entwicklungszusammenarbeit USAID beim E-Mail-Marketing-Dienst Constant Contact. Über diesen konnten die Hacker vertrauenswürdig erscheinende Phishing-E-Mails an ihre Ziele verschicken, in denen ein kompromittierter Link enthalten war, über den eine Schadsoftware heruntergeladen wurde. Diese öffnete den Angreifern eine Hintertür, über die sie etwa Daten stehlen sowie weitere Malware zur Infektion der Netzwerke und Systeme der Opfer nachladen konnten. Microsoft zufolge wurde der Angriffspfad zwar bei einigen Betroffenen automatisch blockiert und die Malware vom Windows Defender erkannt und gestoppt, aber nicht bei allen. Das Unternehmen hat deshalb umgehend alle ihm bekannten Ziele über die Gefahr informiert.

Ähnlich wie schon bei Solarwinds versucht Nobelium somit erneut, seine Ziele nicht direkt anzugreifen, sondern über den Umweg eines vermeintlich vertrauenswürdigen Einfallstors. Dieses Mal wurde dafür allerdings kein technologischer Teil der Lieferkette missbraucht, sondern die gute Reputation der USAID. Die davon ausgehende Gefahr ist jedoch mindestens ähnlich groß, gerade wenn es wie hier um gezielte politische Spionageziele in wichtigen nationalen und internationalen Organisationen geht. Dabei ist davon auszugehen, dass solche Attacken in Zukunft weiter zunehmen werden. Ein weiteres Beispiel dafür waren die jüngsten Attacken im Zuge der Corona-Pandemie auf Hersteller und Gesundheitsorganisationen, die sich mit Impfstoffen befassen. Um das künftig zu verhindern und den »digitalen Frieden« zu sichern fordert Burt gemeinsame und bindende internationale Anstrengungen und Vorgaben: »Wir brauchen klare Regeln für das Verhalten von Nationalstaaten im Cyberspace und klare Erwartungen bezüglich der Konsequenzen bei Verstößen gegen diese Regeln.«

Relevante Anbieter


Verwandte Artikel

Microsoft

IT-Security

E-Mail

Anbieterkompass