Ausländische Hacker mischen sich in US-Wahlkampf ein

Tom Burt, Corporate Vice President for Customer Security & Trust bestätigte heute, dass chinesische, iranische und russische staatlich geförderte Hacker versucht hätten, E-Mail-Konten von Personen zu knacken, die mit den Wahlkampagnen von Biden und Trump in Verbindung stehen. Die „Mehrheit dieser Angriffe“ sei entdeckt und blockiert worden. Burt enthüllte  weitere Angriffe und bestätigte auch einen Bericht des Director of National Intelligence vom August, der behauptete, dass chinesische und iranische Hacker auch den US-Wahlprozess im Visier hätten.

Laut Microsoft wurden die von russischen Hackern durchgeführten Angriffe auf eine Gruppe zurückgeführt, die das Unternehmen unter dem Namen Strontium und die Cyber-Sicherheitsindustrie als APT28 oder Fancy Bear verfolgt. Microsoft sagt, diese Gruppe sei besonders aktiv gewesen und habe zwischen September 2019 und heute mehr als 200 Organisationen auf der ganzen Welt ins Visier genommen, darunter als Opfer auch deutsche Parteien:

In den USA ansässige Berater im Dienste von Republikanern und Demokraten;

Think Tanks wie der German Marshall Fund of the United States und Interessenverbände;

Nationale und staatliche Parteiorganisationen in den USA

Die Europäische Volkspartei (EVP) einschließlich der CDU/CSU und politische Parteien im Vereinigten Königreich

Microsoft sagte, dass Strontium zwar normalerweise Spear-Phishing-E-Mail-Angriffe durchführte, in den letzten Monaten jedoch Brute-Force- und Passwortsprühtechniken als ergänzende Methode zum Eindringen in Konten eingesetzt habe. Da diese Angriffe sehr laut und leicht aufzuspüren sind, sagte Microsoft, dass Strontium seine Anmeldedaten durch „mehr als 1.000 ständig rotierende IP-Adressen, von denen viele mit dem Anonymisierungsdienst Tor in Verbindung stehen“ und durch „Hinzufügen und Entfernen von etwa 20 IPs pro Tag, um seine Aktivität noch weiter zu verschleiern“, massenhaft gesammelt habe.

Auf der anderen Seite stammten die Angriffe iranischer Hacker von einer Gruppe, die als Phosphor (APT35, Charming Kitten und das Ajax-Sicherheitsteam) verfolgt wurde. Diese Angriffe sind die Fortsetzung einer Kampagne, die im vergangenen Jahr begann und die Microsoft im Oktober 2019 aufdeckte und vor der Microsoft im Oktober 2019 warnte. Durch einige Open-Source-Detektivarbeit verbanden später mehrere Mitglieder der Sicherheitsgemeinschaft die Angriffe mit der Trump-Kampagne. Heute bestätigte Microsoft, dass die Angriffe tatsächlich auf die Trump-Kampagne abzielten, offenbarte aber auch neue Aktivitäten im Zusammenhang mit der Gruppe. „Zwischen Mai und Juni 2020 versuchte Phosphorus erfolglos, sich in die Konten von Verwaltungsbeamten und Donald J. Trump für das Personal der Trump-Kampagne einzuloggen“, sagte Burt.

Darüber hinaus fügte Burt hinzu, dass Microsoft, nachdem es im März 2019 gerichtliche Anordnungen zur Übernahme der Kontrolle über 99 Phosphorus-Domains genutzt hatte, die gleiche Taktik erneut anwandte, um im vergangenen Monat weitere 25 Domains zu übernehmen, wodurch sich die Gesamtzahl des Unternehmens auf 155 Domains erhöhte, die zuvor im Besitz von Phosphorus waren.

Es wurden aber auch Angriffe von chinesischen Gruppen festgestellt. Während es derzeit Dutzende von Hacker-Gruppen gibt, von denen angenommen wird, dass sie auf Anweisung und unter dem Schutz der chinesischen Regierung operieren, sagte Microsoft, dass die Angriffe, die auf US-Kampagnen abzielten, von einer Gruppe namens Zirkonium (APT31) stammten, der gleichen Gruppe, die Google Anfang Juni dieses Jahres im Juni entdeckt hatte.

Microsoft sagt, es habe zwischen März 2020 und September 2020 Tausende von dieser Gruppe organisierte Angriffe entdeckt, wobei die Hacker in diesem Zeitraum Zugang zu fast 150 Konten erhielten.

Die Ziele dieser Angriffe lassen sich gewöhnlich in zwei Kategorien einteilen:

Personen, die eng mit dem US-Präsidentschaftswahlkampf und den Kandidaten in Verbindung stehen.

Prominente Personen in der Gemeinschaft für internationale Angelegenheiten,

Akademiker in internationalen Angelegenheiten.

In der ersten Kategorie führte Microsoft die Biden-Kampagne (über E-Mail-Konten, die nicht zur Kampagne gehörten, sondern Personen, die mit der Kampagne in Verbindung standen) und Angriffe gegen mindestens eine Person auf, die früher mit der Trump-Administration in Verbindung stand.

Microsoft setzt zur Abwehr und Überwachung dieser Angriffe unter anderem  AccountGuard Threat Monitoring sowie Microsoft 365 for Campaigns und Election Security Advisors ein und weist darauf hin, dass die Cyberabwehr vor allem in einzelnen Bundesstaaten noch lückenhaft sei und zusätzliche Mittel erforderlich sind.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

8 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago