Microsoft Exchange-Hacker brachen auch in die europäische Bankenaufsicht ein

Cyber Security News

Die Europäische Bankenaufsichtsbehörde (EBA) teilte am Montag mit, dass sie Opfer eines Cyberangriffs auf ihre Microsoft Exchange Server geworden ist, was sie dazu zwang, ihre E-Mail-Systeme als Vorsichtsmaßnahme vorübergehend offline zu nehmen.

“Da die Schwachstelle mit den E-Mail-Servern der EBA zusammenhängt, könnte der Angreifer über die auf diesen Servern gespeicherten E-Mails Zugriff auf personenbezogene Daten erhalten haben”, sagte die in Paris ansässige Aufsichtsbehörde.

Die EBA sagte, dass sie eine umfassende Untersuchung des Vorfalls in Zusammenarbeit mit ihrem Informations- und Kommunikationstechnologie (ICT)-Anbieter, einem Team von forensischen Experten und anderen relevanten Stellen eingeleitet hat.

In einem Update, das später am Tag herausgegeben wurde, sagte die Behörde, dass sie ihre E-Mail-Infrastruktur gesichert hat und dass sie keine Beweise für eine Datenextraktion gefunden hat, und fügte hinzu, dass sie “keine Hinweise darauf hat, dass die Verletzung über unsere E-Mail-Server hinausgegangen ist.”

Neben dem Einsatz zusätzlicher Sicherheitsmaßnahmen stellte die EBA auch fest, dass sie die Situation genau überwacht, nachdem sie die volle Funktionalität der E-Mail-Server wiederhergestellt hat.

Die Entwicklung ist eine Folge einer anhaltenden, weit verbreiteten Ausnutzungskampagne durch mehrere Bedrohungsakteure, die auf anfällige Microsoft Exchange-E-Mail-Server abzielt, eine Woche nachdem Microsoft Notfall-Patches zur Behebung von vier Sicherheitslücken ausgerollt hat, die verkettet werden könnten, um die Authentifizierung zu umgehen und bösartige Programme aus der Ferne auszuführen.

Microsoft soll bereits am 5. Januar 2021 von diesen Schwachstellen erfahren haben, was darauf hindeutet, dass das Unternehmen fast zwei Monate Zeit hatte, bevor es schließlich einen Fix herausbrachte, der am 2. März ausgeliefert wurde.

Der Exchange Server-Massenhack hat bisher weltweit mindestens 60.000 bekannte Opfer gefordert, darunter eine beträchtliche Anzahl kleiner Unternehmen und lokaler Regierungen, wobei die Angreifer ein weites Netz auswarfen, bevor sie hochkarätige Ziele für weitere Aktivitäten nach der Ausbeutung herausfilterten.

Die sich schnell beschleunigenden Angriffe, die ebenfalls drei Monate nach der SolarWinds-Hacking-Kampagne erfolgen, werden in erster Linie einer Gruppe namens Hafnium zugeschrieben, bei der es sich laut Microsoft um eine staatlich gesponserte Gruppe handelt, die von China aus operiert.

Seitdem deuten Informationen aus verschiedenen Quellen auf eine Zunahme anomaler Web-Shell-Aktivitäten hin, die gegen Ende Februar von mindestens fünf verschiedenen Bedrohungsclustern auf Exchange-Server abzielten, eine Tatsache, die möglicherweise eine wichtige Rolle bei der Veröffentlichung der Fixes durch Microsoft eine Woche vor dem Patch Tuesday gespielt hat.

Laut der Zeitleiste zur Offenlegung der Schwachstelle, die von der taiwanesischen Cybersecurity-Firma Devcore zur Verfügung gestellt wurde, soll Microsofts Security Response Center (MSRC) den Patch ursprünglich für den 9. März geplant haben, was mit dem Patch Tuesday für diesen Monat zusammenfällt.

Wenn die Verbreitung der ProxyLogon-Schwachstellen nicht überraschend ist, so ist es die schnelle und wahllose Ausnutzung durch eine Vielzahl von Cybercrime-Banden und nationalstaatlichen Hackern schon, was darauf hindeutet, dass die Schwachstellen relativ einfach zu erkennen und auszunutzen waren.

Dmitri Alperovitch, Vorsitzender des Silverado Policy Accelerator und Mitbegründer von CrowdStrike, erklärte, dass die chinesischen Exchange-Server-Hacks eine große Normverletzung darstellen: “Während es als gezielte Spionagekampagne begann, haben sie ein rücksichtsloses und gefährliches Verhalten an den Tag gelegt, indem sie Exchange-Server im gesamten IPv4-Adressraum mit Webshells gescannt und kompromittiert haben, die nun von anderen Akteuren genutzt werden können, einschließlich Ransomware-Banden.”

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com