Microsoft deckt iranische Hackerkampagne auf

Microsofts Threat Intelligence Center (MSTIC) hat eine Hackerkampagne untersucht, die sich gegen ehemalige und aktuelle Vertreter der US-Regierung richtet. Die angeblich aus dem Iran stammenden Hintermänner nehmen aber auch Mitglieder des Wahlkampfteams des US-Präsidenten ins Visier.

Die Angriffe fanden demnach über einen Zeitraum von 30 Tagen in den Monaten August und September statt. Microsoft schreibt sie einer Phosphorous genannten Gruppe zu, die auch unter den Bezeichnungen APT35, Charming Kitten oder Ajax Security Team geführt wird. Nicht nur Microsoft sondern auch andere Sicherheitsanbieter unterstellen zudem, dass die Gruppe Verbindungen zur iranischen Regierung unterhält.

Anfänglich sollen die Hacker mehr als 2700 Versuche unternommen haben, um Konsumer-E-Mail-Adressen von bestimmten Microsoft-Kunden zu finden. Von den so gesammelten Adressen sollen sie wiederum 241 angegriffen haben. Auf der Liste fanden sich neben Politikern auch Journalisten sowie prominente Iraner, die außerhalb des Irans leben.

Die Attacken waren laut Microsoft jedoch nur in vier Fällen erfolgreich. Die geknackten E-Mail-Konten gehörten jedoch weder ehemaligen oder aktuellen Regierungsmitgliedern, noch Mitarbeitern der Wahlkampagne des US-Präsidenten. Die Betroffenen wurden inzwischen über die Vorfälle informiert.

Zu den vier Konten schafften sich die Hacker Zugang, indem sie zuerst in die Posteingänge der Konten einbrachen, die die Opfer als sekundäre E-Mail-Adressen für ihr Microsoft-Konto hinterlegt hatten. Dann setzten sie das Kennwort des Microsoft-Kontos zurück, was mit dem an die sekundäre E-Mail-Adresse verschickten Link zumindest in den besagten vier Fällen problemlos möglich war.

Besonders exponierten Nutzern eines Microsoft-Kontos empfiehlt der Softwarekonzern, die Sicherheitsfunktion Account Guard zu nutzen, die speziell auf Mitglieder politischer Kampagnen, Think Tanks und Nicht-Regierungsorganisationen ausgerichtet ist. Sie bietet einen erweiterten Schutz, der auch Benachrichtigungen über mögliche Bedrohungen umfasst. Den Service sollen inzwischen mehr als 26.000 Konten in 26 Ländern nutzen. Sie erhielten bisher mehr als 800 Warnungen zu möglicherweise staatlich unterstützten Hackerangriffen.

Es ist nicht das erste Mal, dass sich Microsoft mit der Phosphorous-Gruppe beschäftigt hat. Im März übernahm das Unternehmen die Kontrolle über 99 Web-Domains, die mutmaßlich von den Hackern für Spear-Phishing benutzt wurden. Die Domains ahmten bekannte Marken wie Microsoft und Yahoo nach.