37 Gigabyte Daten gestohlen

Hackerangriff auf Microsoft

Cyberkriminelle haben sich in die internen Systeme von Microsoft gehackt und vertrauliche Daten erbeutet. Dazu zählen Teile des Quellcodes von Cortana und Bing.
Von 
CSO | 22. März 2022 16:40 Uhr
Die Hackergruppe Lapsus$ hat sich Zugang zu mehreren Azure DevOps-Accounts von Microsoft verschafft.
Die Hackergruppe Lapsus$ hat sich Zugang zu mehreren Azure DevOps-Accounts von Microsoft verschafft.
Foto: Budrul Chukrut - shutterstock.com

Nach den Angriffen auf Nvidia und Samsung hat es die südamerikanische Ransomware-Gang Lapsus$ nun auch auf Microsoft abgesehen. Die Hackergruppe meldete am Sonntag, sie hätte mehrere Azure DevOps-Accounts unter ihre Kontrolle gebracht und so Zugang zu wichtigen Datenquellen. Berichten zufolge hat die Erpresserbande insgesamt 37 Gigabyte an Quellcode und E-Mails von Microsoft abgegriffen und veröffentlicht.

Um den Datendiebstahl zu belegen, verbreiteten die Angreifer zunächst Screenshots der Ordnerstruktur auf Telegram und später auch interne Daten des Tech-Konzerns, etwa Ausschnitte des Quellcodes der Microsoft-Produkte Cortana und Bing. Nach eigenen Angaben ist der Softwarekonzern über das Datenleck informiert und stellt aktuell interne Untersuchungen dazu an.

"Auch Unternehmen, die bereits gut im Bereich der IT-Sicherheit aufgestellt sind, stellen für hochmotivierte Angreifer kein uneinnehmbares Ziel dar", warnt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. Die Tatsache, dass die Gangster bereits zwei Monate Zugang zu den betroffenen Netzwerken gehabt hätten, mache das besonders deutlich - "und dass die Gruppe erst jetzt damit an die Öffentlichkeit geht, bedeutet nichts Gutes", betont der Security-Experte. "Es ist zu erwarten, dass es weitere Angriffe geben wird, welche direkt auf Informationen zurückgehen, auf die die Täter im Zuge der Angriffe für mehrere Wochen Zugriff hatten. Damit bewahrheitet sich einmal mehr eine unserer Prognosen für das Jahr 2022: Die Software-Lieferketten werden verstärkt unter Beschuss geraten."

Die Bekanntgabe solcher Leaks mache auch eine andere Sache nochmals in unangenehmer Form deutlich: Für Gegenmaßnahmen sei es an diesem Punkt zu spät, so Berghoff - "die Täter haben bereits, was sie wollten. Und sie machen auch offensive Recruiting-Arbeit, indem sie offen nach Unterstützern fragen, die gegen Bezahlung Zugriff auf Ressourcen ermöglichen sollen".

Weiteres Opfer von Lapsus$

Der Identitäts- und Zugriffsmanagement-Dienstleister Okta soll ebenfalls der Lapsus$-Gruppe zum Opfer gefallen sein. Die Lösungen des Herstellers kommen in vielen Business-Anwendungen zum Einsatz, darunter zum Beispiel Slack. Okta-CEO Todd McKinnon meldete in einem Tweet, dass es im Januar einen Versuch gab, den Zugang eines Drittanbieters zu kompromittieren. Die Angelegenheit sei untersucht und eingedämmt worden, so McKinnon.

Lotem Finkelsteen, Head of Threat Intelligence and Research bei Check Point Software Technologies hält den Angriff auf Okta für besonders gefährlich: "Über private Schlüssel, die in Okta abgerufen werden, könnte die Cyberbande den Zugang zu Unternehmensnetzwerken und -anwendungen erhalten haben. Eine Sicherheitslücke bei Okta könnte daher katastrophale Folgen haben. " Der Experte empfiehlt Okta-Kunden deshalb dringend, äußerste Wachsamkeit in Sachen IT-Sicherheit walten zu lassen. "Das volle Ausmaß der Kräfte hinter der Cyber-Gang sollte sich in den kommenden Tagen zeigen."

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.