Wie Hacker mit einem kaputten Passwort die volle Kontrolle über ein Netzwerk erlangten – in nur wenigen Tagen

Hacker sind heutzutage sehr klug darin, in ihre Opfer einzudringen. Genau wie damals, als eine Gruppe von Hackern die volle Kontrolle über ein Netzwerk mit einem kaputten Passwort hatte.

Und hol dir das …

Diese Gruppe konnte dies in nur wenigen Tagen tun. Jetzt beschreibt Microsoft, wie eine Hacking-Gruppe dieses Schema im Handumdrehen ausführen konnte.

Lesen Sie: Cyberangriffe und Phishing mit Coronavirus-Thema wurden eingestellt, sagt Microsoft

Eine bestimmte Hacking-Gruppe ist laut Microsoft am effektivsten bei der Verwendung von Cloud-basierten Angriffen

Eine kleine Sicherheitsverletzung hat sich schnell zu einem größeren Problem ausgeweitet. Von allen von Microsoft verfolgten Hackern des organisierten Verbrechens und des Nationalstaats, die verfolgt werden, gehört diese bestimmte Gruppe, die sie Holmium nennt, zu den effektivsten bei der Verwendung von Cloud-basierten Angriffsmethoden.

“Wir sehen jeden Tag, wie Angreifer über die Cloud und verschiedene andere Angriffsmethoden eine Offensive gegen Zielorganisationen starten, um den Weg des geringsten Widerstands zu finden, schnell Fuß zu fassen und die Kontrolle über wertvolle Informationen und Vermögenswerte zu erlangen”, so Microsoft’s Threat Protection Intelligence Team.

Hacker sind mit ihren Hacking-Techniken strategischer gewordenHacker sind mit ihren Hacking-Techniken strategischer geworden

Diese Gruppe ist auch als ATP33, StoneDrill und Elfin bekannt. Die Gruppe ist eng mit dem Iran verbunden und führt seit einigen Jahren Spionage- und Zerstörungsangriffe gegen Luft- und Raumfahrt-, Verteidigungs-, Chemie-, Bergbau- und Petrochemieunternehmen durch.

Holmium verwendete im Laufe der Jahre des Hackens viele Techniken

Laut den Forschern von Microsoft nutzt die Gruppe verschiedene Wege, um Zugang zu ihren Opfern zu erhalten. Ihre Techniken umfassen Spear-Phishing-E-Mails sowie Versuche, Listen mit Passwörtern zu verwenden, um in Konten einzubrechen. Diese Technik wird als “Passwort-Sprühen” bezeichnet.

Bei den jüngsten Angriffen der Gruppe wurde jedoch ein Penetrationstest-Tool namens Ruler verwendet, das zusammen mit kompromittierten Exchange-Anmeldeinformationen verwendet wird. Seit 2018 läuft Holmium mit einem solchen Programm und hat im ersten Halbjahr 2019 eine weitere Welle solcher Angriffe gestartet.

Wie funktioniert das Programm?

In der Regel beginnen diese Angriffe mit dem Versprühen von Kennwörtern gegen die exponierte Active Directory Federation Services-Infrastruktur. Dies ist der Fall, wenn ein Täter versucht, unbefugten Zugriff auf eine große Anzahl von Konten zu erhalten, indem er in kurzer Zeit wiederholt eine Liste von Kennwörtern verwendet.

Microsoft stellte außerdem fest, dass Unternehmen, die keine Multi-Faktor-Authentifizierung verwenden, ein höheres Risiko haben, dass Konten kompromittiert werden.

Das Sprühen von Passwörtern gehört zu den am häufigsten verwendeten Techniken von HackernDas Sprühen von Passwörtern gehört zu den am häufigsten verwendeten Techniken von Hackern

Bei Verwendung einiger Office 365-Konten würde die Gruppe dann den nächsten Schritt mit dem Lineal starten, wodurch sie die Kontrolle über den PC erhalten. Als nächstes würden die Hacker dann weiter erforschen.

“Nachdem die Gruppe die Kontrolle über den Endpunkt übernommen hat (zusätzlich zur Cloud-Identität), war die nächste Phase die stundenlange Erkundung des Netzwerks des Opfers”, fügte Microsoft hinzu. Hacker, die Zugriff erhalten konnten, würden mehr Benutzerkonten und PCs zum Hacken im Netzwerk finden.

Diese Angriffe dauerten nur weniger als eine Woche – vom ersten Zugriff über die Cloud bis zum vollständigen Zugriff. Und das Schlimmste? Die Angreifer können längere Zeit im Netzwerk bleiben – manchmal Monate.

Sicherheitsforscher warnen Organisationen, die keine Multi-Faktor-Authentifizierung verwendenSicherheitsforscher warnen Organisationen, die keine Multi-Faktor-Authentifizierung verwenden

Viele Organisationen, die Opfer dieser Angriffe werden, reagieren normalerweise zu spät und geben den Angreifern genügend Zeit, um Informationen zu sammeln und diese zu ihrer Verfügung zu verwenden.

Microsoft sagte, dass frühere Phasen des Angriffs wie Cloud-Ereignisse und Passwort-Spray “Aktivitäten oft übersehen wurden”.

Unabhängig davon, ob eine Organisation einen traditionellen oder einen modernen Ansatz implementiert, werden immer noch neuartige Angriffsszenarien und -techniken eingeführt. Deshalb warnt Microsoft Organisationen.