Wer ist Cozy Bear?
Hinter dem niedlich anmutenden Namen verbirgt sich eine Hacker-Gruppe, die immer wieder für Aufsehen sorgt. Sie wird dem russischen Staat zugeordnet und gilt als APT, ein Advanced Persistent Threat. Andere Bezeichnungen für diese Gruppe sind APT29, The Dukes, Midnight Blizzard oder auch NOBELIUM.
Die Gruppe ist bereits seit Mitte der 2000er Jahre aktiv und hat hochkarätige Cyberangriffe durchgeführt (z.B. „SolarWinds“). Die Ziele sind vor allem politisch gewählt – mit einem besonderen Fokus auf die USA, Europa und andere NATO-Mitgliedstaaten. Angegriffen werden Regierungsbehörden, regierungsnahe Unternehmen, NGOs, Forschungseinrichtungen und alle anderen denkbaren politischen Organisationen.
Cozy Bear ist vor allem für maßgeschneiderte Angriffe mit eigener Malware und sehr ausgeklügelte Verschleierung bekannt. Das Ziel liegt bei den Angriffen klar darin, unentdeckt einzudringen, Informationen auszuleiten und möglichst lange unentdeckt zu bleiben. Cozy Bear hat in der Vergangenheit bewiesen, dass sie in der Lage sind, Abwehrmaßnahmen mit großem Erfolg zu umgehen und ihre Spuren effizient zu verwischen, um die Analyse der Angriffe zu erschweren.
Welche Techniken verwenden die Angreifenden?
Cozy Bear verfügt über Fähigkeiten in allen Angriffstechniken. Der initiale Zugang erfolgte bisher oft über Spear-Phishing-Kampagnen, die nach dem erfolgreichen Zugang noch weitergeführt wurden, um keine Aufmerksamkeit zu erregen. Einmal innerhalb des Systems agiert Cozy Bear flexibel. Es wird eigens geschriebene Malware genutzt, Privilegien werden ausgeweitet oder es werden Programme und Tools der Opfer zweckentfremdet. Die Vielfalt an Techniken und die Kombination dieser macht es besonders schwer, die Angriffe lückenlos aufzuklären.
Wie konnten sie Zugang zu Microsoft erlangen?
Bekannt ist bisher, dass der Zugang zuerst auf ein (legacy-) Testsystem erfolgte. Der “Account”, dessen Anmeldeinformationen die Gruppe durch einen Password-Spray-Angriff erhielten, hatte die Berechtigung “full_access_as_app”. Sicherheitsmaßnahmen – wie eine MFA oder Geoblocking – waren nicht aktiv. Durch diesen Zugang konnte die Gruppe bösartige OAuth-Anwendungen erstellen. Aus den von Microsoft geteilten Informationen geht der Übergang vom Test- auf das Produktivsystem nicht klar hervor. Microsoft selbst schreibt hierzu folgendes:
“Beginning in late November 2023, the threat actor used a password spray attack to compromise a legacy non-production test tenant account and gain a foothold, and then used the account’s permissions to access a very small percentage…” (LINK)
Es wird davon ausgegangen, dass entweder die der Gruppe bereits bekannten Anmeldeinformationen aus dem Testsystem genutzt werden konnten oder dass eine Anwendung nicht vom Produktivsystem getrennt war und so der Zugang erlangt wurde. Um unentdeckt zu bleiben, nutzte Cozy Bear lokale Proxys.
Was ist bisher bekannt?
In dem Produktivsystem hatten die Angreifenden die Möglichkeit, E-Mails zu lesen und Dateien auszuleiten. Betroffen waren laut Microsoft neben dem Senior Management und der Rechtsabteilung auch die Cybersecurity-Abteilung und andere nicht weiter definierte Abteilungen. In der initialen Stellungnahme vom 19.01.2024 wurde berichtet, dass die Angreifenden weder auf Kundenumgebungen noch auf Source Code oder KI-Daten Zugriff hatten.
Am 08.03.2024 veröffentlichte Microsoft ein Update zu dem Angriff. Laut aktuellen Informationen scheint der Angriff nicht wie bisher angenommen gebannt, sondern läuft weiterhin. Cozy Bear ist es mit Hilfe der gestohlenen Informationen gelungen, Zugriff auf Source Code, Repositories und interne Systeme von Microsoft zu erhalten. Von Microsoft gehostete Kundensysteme sollen nach aktuellem Stand nicht betroffen sein, Informationen und “Secrets”, die von Kunden mit Microsoft über E-Mail geteilt wurden, gelangten jedoch in die Hände von Cozy Bear.
Der Angriff wird von Microsoft als “Ongoing” betitelt. Das gesamte Ausmaß und die Auswirkungen auf Kunden können somit aktuell noch nicht benannt werden.
Was kann man auf diesem Angriff lernen?
Der initiale Zugang erfolgte über das “Ausprobieren” einfacher Passwörter. Eine Verteidigung hiergegen ist recht simpel: ein starkes Passwort und die Aktivierung einer Multi-Faktor-Authentifizierung hätten zumindest hier die Systeme verschlossen gehalten.
Die Möglichkeit, von Testsystemen in ein Produktivsystem zu gelangen, hätte bei beiden möglichen Varianten ebenfalls unterbunden werden können. Accounts in Testsystemen sollten nicht dieselben Credentials nutzen, wie in den Produktivsystemen. Eine Applikation sollte ebenfalls nicht in beiden Systemen aktiv sein.
Weiterhin ist es wichtig, die Berechtigungen von Accounts genau zu prüfen, um selbst bei einer Kompromittierung den Schaden gering zu halten.
Ändert sich die Risiko-Bewertung für meine Daten bei Microsoft 365?
Der Angriff ist bisher weder beendet noch aufgearbeitet. Der Zugriff auf Source Code und das scheinbar andauernde „Katz-und-Maus-Spiel“ könnten auch in ferner Zukunft Auswirkungen auf Nutzerinnen und Nutzer haben. Die Angreifenden haben Erfahrung mit sogenannten Supply-Chain-Angriffen (vgl. „SolarWinds“), bei denen es manipulierter Quellcode in die Systeme von Kunden geschafft hat. Das ist aktuell nicht ausgeschlossen.
Fazit
Microsoft selbst arbeitet mit allen Mitteln daran, den Angriff zu beenden und hat die internen Sicherheitsmaßnahmen deutlich erhöht, um selbst in Zukunft besser gegen derartige Angriffe gewappnet zu sein.
Die sichere Konfiguration eigener Microsoft-365-Tenants ist nach aktuellem Stand ausreichend und es gibt keine Hinweise darauf, dass Cozy Bear Zugriff auf Endkundendaten hat. Weiterhin nutzt die Hackergruppe derzeit vor allem “Password Spraying”, um weitere Tenants anzugreifen, was durch komplexe Passwörter und den Einsatz von MFA einfach verteidigt werden kann.
Der Angriff zeigt erneut, dass Sicherheitsmaßnahmen konsequent umgesetzt werden müssen. Selbst ein kleiner Fehler wie das Nicht-Abschalten eines Testaccounts können massive Folgen haben. Weiterhin sollten die technischen Möglichkeiten zur Absicherung der eigenen Infrastruktur ausgeschöpft werden, da diese es Angreifenden deutlich erschweren, einen Zugang zu erhalten.
Neben der Absicherung wird zudem deutlich, dass die Notwendigkeit für Exit-Strategien besteht. Microsoft ist in diesem Fall stellvertretend für andere Anbieter von Diensten zu betrachten. Sollte dieser Angriff oder zukünftige dazu führen, dass die Zusammenarbeit mit einem Anbieter beendet werden muss, ist ein geplanter Exit deutlich stressfreier und sicherer, als unter Druck agieren zu müssen.