Lokale SharePoint-Server im Visier chinesischer Gruppen
Chinesische Hacker haben Microsofts SharePoint-Server gezielt angegriffen, wie der US-Konzern jetzt bestätigte. Betroffen sind nur lokal betriebene Server – nicht der Cloud-Dienst von Microsoft. Laut Microsoft nutzten die Gruppen Sicherheitslücken, um Daten aus Unternehmensnetzwerken zu stehlen. Die Hackergruppen tragen die Namen Linen Typhoon, Violet Typhoon und Storm-2603. Alle gelten als chinesisch oder stehen laut Microsoft unter staatlicher Kontrolle.
Microsoft reagiert mit Sicherheitsupdates und Warnung
Die Hacker verschafften sich Zugang über bekannte Schwachstellen in On-Premises-Servern. Microsoft veröffentlichte umgehend ein Sicherheitsupdate und forderte Kunden auf, es sofort zu installieren. „Weitere Untersuchungen zu anderen Gruppen laufen noch“, hieß es in einer Stellungnahme. Microsoft zeigt sich überzeugt, dass die Angreifer ungepatchte Systeme weiter attackieren werden. Die Gefahr bleibt akut, wenn Sicherheitsmaßnahmen ausbleiben.
Hacker stehlen Schlüssel und sichern sich Zugriff
Laut Microsoft verschickten die Angreifer manipulierte Anfragen an SharePoint-Server. Dadurch konnten sie Verschlüsselungsschlüssel entwenden. Mit diesen Schlüsseln gelang es ihnen, dauerhaft auf interne Daten der betroffenen Firmen zuzugreifen.
Sicherheitsfirma bestätigt globale Angriffe
Charles Carmakal von Mandiant Consulting, einer Google-Tochter, erklärte gegenüber der BBC, dass es weltweit Opfer gebe. Die Angriffe zielten auf Organisationen aus verschiedenen Branchen. Regierungen und Unternehmen mit lokaler SharePoint-Nutzung standen besonders im Fokus. Carmakal sagte, die Hacker hätten die Schwachstellen schnell und breit ausgenutzt – noch vor dem Erscheinen eines Updates.
Hackergruppen arbeiten strategisch und mit Langzeitplänen
Microsoft nennt Linen Typhoon einen langjährigen Akteur mit klarem Ziel: geistiges Eigentum stehlen. Die Gruppe attackiert vor allem Behörden, Rüstungsfirmen und Organisationen für Menschenrechte. Violet Typhoon betreibt laut Microsoft Spionage gegen viele Sektoren. Betroffen sind ehemalige Regierungsmitarbeiter, NGOs, Medien, Hochschulen und Kliniken in den USA, Europa und Ostasien. Storm-2603 stuft Microsoft als chinesische Bedrohung mit mittlerem Risiko ein.
Microsoft will weiter aufklären
Microsoft kündigte an, seinen Sicherheitsblog fortlaufend zu aktualisieren. Dort sollen alle neuen Erkenntnisse zur Angriffswelle veröffentlicht werden. Die Untersuchungen laufen weiter.
