SharePoint-Server gezielt attackiert
Mehrere chinesische Hackergruppen haben Microsofts lokal installierte SharePoint-Server angegriffen. Das gab der US-Technologiekonzern jetzt bekannt. Die Angriffe betrafen ausschließlich On-Premises-Server von Unternehmen – nicht den Cloud-Dienst von Microsoft. Die Angreifer nutzten Sicherheitslücken, um gezielt auf Unternehmensdaten zuzugreifen. Microsoft nennt die Gruppen Linen Typhoon, Violet Typhoon und Storm-2603. Sie operieren laut Konzern aus China oder stehen unter staatlicher Kontrolle.
Microsoft veröffentlicht Update und schlägt Alarm
Die Hacker verschafften sich Zugriff über bekannte Schwachstellen. Microsoft reagierte mit einem Sicherheitsupdate und forderte Kunden zum sofortigen Handeln auf. „Ermittlungen zu weiteren Angreifern laufen“, erklärte Microsoft in einer Stellungnahme. Der Konzern geht davon aus, dass Systeme ohne Update weiter im Fokus stehen. Die Bedrohung bleibt aktiv und hoch.
Angriff über gestohlene Verschlüsselungsschlüssel
Microsoft berichtet von Angriffen mit speziell präparierten Anfragen an SharePoint-Server. Diese ermöglichten es den Angreifern, kryptografische Schlüssel zu stehlen. Mit den gestohlenen Schlüsseln konnten sie dauerhaft auf geschützte Daten zugreifen.
Sicherheitsfirma sieht weltweite Opfer
Charles Carmakal, Technikchef von Mandiant Consulting (Teil von Google Cloud), bestätigt weltweite Vorfälle. Die Hacker trafen Organisationen aus verschiedenen Branchen und Regionen. Besonders betroffen waren Regierungen und Unternehmen mit eigenen SharePoint-Systemen. Carmakal bezeichnete den Angriff als „breit und opportunistisch“. Die Schwachstellen wurden gezielt vor dem Microsoft-Patch ausgenutzt.
Hacker mit langer Spionagehistorie
Microsoft beschreibt Linen Typhoon als Spionagegruppe mit über 13 Jahren Aktivität. Ziel der Gruppe sei der Diebstahl von geistigem Eigentum und sicherheitsrelevanten Daten. Violet Typhoon konzentriere sich auf Informationsbeschaffung in Politik, Forschung und Zivilgesellschaft. Die Angriffe richteten sich gegen ehemalige Regierungsmitarbeiter, NGOs, Universitäten, Medien und Kliniken. Storm-2603 wird von Microsoft als China-basierte Bedrohung mittlerer Risikostufe eingestuft.
Weitere Informationen angekündigt
Microsoft kündigte laufende Updates im unternehmenseigenen Sicherheitsblog an. Neue Details zur Angriffswelle sollen dort fortlaufend veröffentlicht werden. Die Untersuchungen dauern an.
