Microsoft hat seine Kunden über einen durch chinesische Staatshacker ausgeführten Datenklau
informiert. Den Urheber der Kampagne, den das
Microsoft Threat Intelligence Center mit dem Namen Hafnium bedacht hat, sei hoch spezialisiert und raffiniert.
Hafnium habe in der Vergangenheit vor allem Organisationen in den USA angezielt, um Informationen abzusaugen – unter anderem aus der Forschung rund um Infektionskrankheiten, aber auch von Anwaltskanzleien, Bildungsinstitutionen, aus der Verteidigungsindustrie und von Think Tanks. Obwohl die Hacker in China beheimatet sind, erfolgten die Angriffe über gemietete Private-Virtual-Server mit Standort in den USA.
Seit kurzem hat sich der Fokus von Hafnium offenbar weiterentwickelt. Das Ziel seien nun vornehmlich On-Premises betriebene Exchange-Server, wobei bisher unbekannte Exploits genutzt würden. Diese Exploits seien bisher in erster Linie von Hafnium ausgegangen. Die Angriffe erfolgten demnach in drei Phasen: Zuerst wird der Zugang zum betroffenen Exchange-Server über gestohlene Passwörter oder die erwähnten Zero-Day-Schwachstellen erlangt, dann wird eine Web Shell errichtet, um den Server aus der Ferne zu steuern, und im dritten Schritt wird der Zugang für den Datenklau benutzt.
Es sei in den letzten zwölf Monaten das achte Mal, dass man über staatlich gesponserte Hacking-Kampagnen informiere, merkt Microsoft an. Mit dem berüchtigten Solarwinds-Angriff habe Hafnium jedoch nichts zu tun. Für den Exchange-Server liegen überdies ab sofort
Sicherheits-Updates bereit, die mit den ausgenutzten Schwachstellen aufräumen.
(ubi)