Chinesische Hacker nutzen angeblich eine Schwachstelle in Microsoft Exchange aus, um Anrufprotokolle zu stehlen

Anfang März gab Microsoft bekannt, dass Schwachstellen in seiner Exchange-Software von einer chinesischen Hackergruppe namens Hafnium ausgenutzt werden. Die Gruppe, so enthüllte es, führte gezielte Angriffe auf verschiedene Organisationen durch. Darunter befinden sich Rechtsanwaltskanzleien, Verteidigungsunternehmen, NGOs und sogar Forscher im Bereich Infektionskrankheiten. Zu den angreifbaren Systemen zählen E-Mail-Plattformen, die von diesen Organisationen genutzt werden. 

Wenn die Angriffe erfolgen, hinterlassen die Hacker ein als Webshell bekanntes Werkzeug. Eine Webshell ist ein stark geschütztes Hacking-Werkzeug, das leicht über das Internet zugänglich ist. Dies macht ungepatchte Exchange-Server besonders anfällig. Dies liegt daran, dass die Webshell dem Hacker uneingeschränkten Remote-Zugriff auf den Computer des Opfers ermöglicht. Es wurde berichtet, dass auf diese Weise Hunderttausende von Microsoft Exchange-Servern kompromittiert wurden. Jeder kompromittierte Server repräsentiert eine Organisation, die Exchange als Teil ihrer administrativen Infrastruktur verwendet.

Hafnium wird auch eine Reihe von Angriffen auf ein südostasiatisches Telekommunikationsunternehmen vorgeworfen. In diesem Fall zielten die Hacker darauf ab, Anrufprotokolle des nicht genannten Unternehmens zu stehlen, und das schon ab Ende 2020, noch bevor der Microsoft Exchange-Hack entdeckt wurde. 

Die Hackergruppe ist seit 2017 aktiv und ist es die ganze Zeit über gelungen, nicht entdeckt zu werden. Ein Bericht aus dem Jahr 2019 enthüllte, dass die Gruppe die Sicherheit von 10 Telekommunikationsunternehmen in Afrika, dem Nahen Osten, Europa und Asien erfolgreich verletzte. Derzeit hat sich die Gruppe mit zwei weiteren Hacker-Teams mit Verbindungen zu China zusammengeschlossen, um ähnliche Angriffe durchzuführen. 

Entdeckung

Die Cybersecurity-Firma Volexity wird dafür gelobt, den Verstoß zuerst entdeckt zu haben. Das Unternehmen bemerkte eine massive Datenübertragung von Microsoft Exchanges Servern Anfang Januar 2021. Unglücklicherweise war dies in der Zeit, als die Welt durch den Aufstand im Kapitol der Vereinigten Staaten abgelenkt war. Steven Adair, Präsident von Volexity, äußerte, dass die Hacker ihre Aktionen in den kommenden Monaten wahrscheinlich beschleunigen würden. Organisationen, die nicht in der Lage sind, die erforderlichen Änderungen an ihren Systemen vorzunehmen und die von Microsoft bereitgestellten Sicherheitsupdates hochzuladen, werden am anfälligsten sein. 

“So schlimm es jetzt schon ist, ich glaube es steht uns noch Schlimmeres bevor,” sagte Adair. “Dies gibt ihnen eine begrenzte Möglichkeit, etwas auszunutzen. Der Patch wird das nicht beheben, wenn sie ihren Backdoor zurücklassen.” 

Microsofts Antwort

Im Rahmen einer raschen Reaktion veröffentlichte Microsoft am 2. März Sicherheitsupdates, um die Schwachstellen, die die Hacker in Exchange-Server-Versionen von 2013 bis 2019 ausnutzten, zu beheben.

Das Unternehmen gab weiterhin an, dass es mit der Cybersecurity & Infrastructure Security Agency (CISA) der Vereinigten Staaten zusammenarbeitet, um den Kunden Anweisungen für das weitere Vorgehen zu geben. “Der beste Schutz besteht darin, Updates so schnell wie möglich auf allen betroffenen Systemen anzuwenden,” sagte ein Unternehmenssprecher. 

Allerdings fügte Microsoft hinzu, dass die Angriffe keine Kunden betrafen, die den Exchange Online Service nutzen. Es steht jedoch fest, dass die meisten der betroffenen Organisationen irgendeine Art von Microsoft Outlook Web Access (OWA) zusätzlich zu internen Exchange-Servern verwendeten. 

Bezug zu China

Im Juli machte das Weiße Haus offiziell China für den Missbrauch der Microsoft Exchang-Lücke zur Durchführung des Angriffs verantwortlich. Die USA veröffentlichten eine Erklärung, in der sie die chinesischen Behörden aufforderten, “den Normen der internationalen Beziehungen zu folgen und ihr Gebiet nicht für bösartige Cyber-Aktivitäten zu verwenden, und alle angemessenen Maßnahmen zu ergreifen und alle vernünftigerweise verfügbaren und machbaren Schritte zur Aufdeckung, Ermittlung und Behebung der Situation durchzuführen.”

Assaf Dahan, Leiter der Zielanalyse bei Cybereason, einem Cybertechnologieunternehmen, stellte die Verbindung der Hacker zu China fest. Laut Dahan weisen die Art der Angriffe und die Überschneidung von Taktiken und Zielen darauf hin, dass die Hacker denselben Ursprung haben – die chinesische Regierung. Zudem waren die Ziele alle von Interesse für die chinesischen Behörden, insbesondere politische Dissidenten. 

Es gibt jedoch keine konkrete Möglichkeit, die Angriffe auf China zurückzuführen. Dies liegt daran, dass es schwierig ist, Angriffe auf Telekommunikationsunternehmen bestimmten Einzelpersonen oder Regierungen zuzuordnen. Es ist viel einfacher, wenn die Angriffe auf Einzelpersonen abzielen, wie zum Beispiel, wenn Spyware auf einem Gerät des Opfers installiert wird. Die Zielauswahl der Telekommunikationsanbieter hat zudem einen weiteren Vorteil: Sie verwischt die Identität der eigentlichen Ziele. Nutzer von Telekommunikationsdiensten kommen aus einer großen Population von Einzelpersonen aus verschiedenen Ländern. Da kein bestimmter Endbenutzer ins Visier genommen wird, wird es für die Strafverfolgungsbehörden schwierig, diese Angriffe zu entdecken oder sie zu verhindern. 

Laut Dahan waren zwar die Hauptziele der Angriffe auf Microsoft Exchange in Südostasien, es besteht jedoch die Möglichkeit, dass auch Personen in anderen Regionen ins Visier genommen wurden. 

Ein hochrangiger Sicherheitsexperte äußerte, dass es verwirrend sei, wie China diese Angriffe durchgeführt hat. Der Sicherheitsexperte meinte, dass dieses Vorgehen unüberlegt und untypisch für China sei.

Die chinesischen Behörden, wie erwartet, leugneten die Verantwortung für den Angriff.