Microsoft leugnet Datenleck und Diebstahl von 30 Millionen Kundendaten

Microsoft hat die Behauptungen der sogenannten Hacktivisten "Anonymous Sudan" zurückgewiesen, dass sie die Server des Unternehmens gehackt und Zugangsdaten für 30 Millionen Kundenkonten gestohlen haben.

Schlagworte:

Microsoft leugnet Datenleck und Diebstahl von 30 Millionen Kundendaten

3. Juli 2023     Kategorie: IT & Sicherheit
microsoft-fire.jpg

Anonymous Sudan ist bekannt für seine verheerenden Distributed Denial of Service (DDoS)-Angriffe gegen westliche Einrichtungen in den letzten Monaten. Die Gruppe hat ihre Zugehörigkeit zu pro-russischen Hacktivisten wie Killnet bestätigt.

Im letzten Monat gab Microsoft zu, dass Anonymous Sudan für Service-Ausfälle und Störungen Anfang Juni verantwortlich war, die sich auf verschiedene Dienste des Unternehmens auswirkten, darunter Azure, Outlook und OneDrive.

Gestern behaupteten die Hacktivisten, dass sie "erfolgreich Microsoft gehackt" hätten und Zugriff auf eine große Datenbank mit mehr als 30 Millionen Microsoft-Konten, E-Mails und Passwörtern hätten.

Anonymous Sudan bot an, diese Datenbank interessierten Parteien für 50.000 US-Dollar zu verkaufen und forderte interessierte Käufer auf, über ihren Telegram-Bot Kontakt aufzunehmen, um den Kauf der Daten zu arrangieren.

Der Beitrag enthält sogar eine Probe der von ihnen angebotenen Daten (angeblich von Microsoft gestohlen), um den Angriff zu beweisen, und warnte davor, dass Microsoft diese Behauptungen leugnen würde.

Die Gruppe stellte 100 Benutzer-Passwort-Paare zur Verfügung, aber deren Herkunft konnte nicht überprüft werden (alte Daten, das Ergebnis eines Angriffs auf einen Drittanbieter, gestohlen aus den Systemen von Microsoft).

BleepingComputer hat Microsoft um eine Stellungnahme zur Gültigkeit der Aussagen von Anonymous Sudan gebeten, und ein Unternehmenssprecher hat jegliche Behauptungen über Datenlecks kategorisch zurückgewiesen.

"Zu diesem Zeitpunkt zeigt unsere Analyse der Daten, dass dies keine legitime Behauptung ist, sondern eine Datenaggregation", sagte ein Unternehmensvertreter zu BleepingComputer.

"Wir haben keine Anzeichen dafür gefunden, dass auf unsere Kundendaten zugegriffen oder sie kompromittiert wurden" - Microsoft-Sprecher

Es ist unklar, ob die Untersuchung von Microsoft abgeschlossen ist oder noch läuft. Außerdem bleibt abzuwarten, wie das Unternehmen auf eine potenzielle Veröffentlichung der Daten reagieren wird.


Die Vorgeschichte und Ablauf der Angriffe


Microsoft bestätigt, dass die kürzlichen Ausfälle der Azure-, Outlook- und OneDrive-Webportale auf Layer-7-DDoS-Angriffe gegen die Dienste des Unternehmens zurückzuführen sind.

Die Angriffe werden einem Bedrohungsakteur zugeschrieben, den Microsoft als Storm-1359 verfolgt, der sich selbst Anonymous Sudan nennt.

Die Ausfälle traten Anfang Juni auf, wobei das Webportal von Outlook.com am 7. Juni, OneDrive am 8. Juni und das Microsoft Azure-Portal am 9. Juni zum Ziel wurden.

Microsoft teilte damals nicht mit, dass sie DDoS-Angriffen ausgesetzt waren, deutete jedoch darauf hin, dass diese die Ursache waren und erklärte für einige Vorfälle, dass sie "Lastausgleichsprozesse anwenden, um das Problem zu beheben".

In einem vorläufigen Root-Cause-Bericht, der letzte Woche veröffentlicht wurde, deutete Microsoft weiter auf DDoS-Angriffe hin und erklärte, dass ein Anstieg des Netzwerkverkehrs den Azure-Ausfall verursacht habe.

"Wir haben einen Anstieg des Netzwerkverkehrs festgestellt, der sich auf die Fähigkeit zur Verwaltung des Verkehrs zu diesen Websites auswirkte und zu Problemen für Kunden führte, auf diese Websites zuzugreifen", erklärte Microsoft.

In einem Beitrag des Microsoft Security Response Center, der am Freitag veröffentlicht wurde, bestätigt Microsoft nun, dass diese Ausfälle durch einen Layer-7-DDoS-Angriff auf ihre Dienste durch einen Bedrohungsakteur verursacht wurden, den sie als Storm-1359 verfolgen.

"Beginnend im Juni 2023 hat Microsoft Verkehrsspitzen gegen einige Dienste festgestellt, die vorübergehend die Verfügbarkeit beeinträchtigt haben. Microsoft hat umgehend eine Untersuchung eingeleitet und verfolgt seitdem die fortlaufende DDoS-Aktivität des Bedrohungsakteurs, den Microsoft als Storm-1359 verfolgt", bestätigt Microsoft.

"Diese Angriffe beruhen wahrscheinlich auf dem Zugang zu mehreren virtuellen privaten Servern (VPS) in Verbindung mit gemieteter Cloud-Infrastruktur, offenen Proxies und DDoS-Tools."

"Es gibt keine Hinweise darauf, dass auf Kundendaten zugegriffen oder diese kompromittiert wurden."

Ein Layer-7-DDoS-Angriff erfolgt, wenn die Bedrohungsakteure auf der Anwendungsebene angreifen, indem sie Dienste mit einer massiven Anzahl von Anfragen überlasten, wodurch die Dienste hängen bleiben, da sie diese nicht alle verarbeiten können.

Microsoft gibt an, dass Anonymous Sudan drei Arten von Layer-7-DDoS-Angriffen verwendet: HTTP(S)-Flutangriffe, Cache-Umgehung und Slowloris.

Jede DDoS-Methode überlastet einen Webdienst, indem alle verfügbaren Verbindungen genutzt werden, sodass sie keine neuen Anfragen mehr annehmen können.

Wer ist Anonymous Sudan?


Während Microsoft die Bedrohungsakteure als Storm-1359 verfolgt, sind sie allgemein als Anonymous Sudan bekannt.
Anonymous Sudan startete im Januar 2023 und warnte davor, Angriffe gegen jedes Land durchzuführen, das sich dem Sudan widersetzt.
Seitdem hat die Gruppe Organisationen und Regierungsbehörden weltweit ins Visier genommen und sie durch DDoS-Angriffe lahmgelegt oder gestohlene Daten veröffentlicht.

Ab Mai richtete sich die Gruppe gegen große Organisationen und forderte Zahlungen, um die Angriffe zu stoppen. Die Angriffe richteten sich zunächst gegen Scandinavian Airlines (SAS), wobei die Bedrohungsakteure 3.500 US-Dollar verlangten, um die DDoS-Angriffe zu stoppen.

Später richtete sich die Gruppe gegen Websites amerikanischer Unternehmen wie Tinder, Lyft und verschiedene Krankenhäuser in den USA.

Im Juni richtete Anonymous Sudan seine Aufmerksamkeit auf Microsoft, wo sie DDoS-Angriffe auf webbasierte Portale für Outlook, Azure und OneDrive starteten und 1 Million US-Dollar forderten, um die Angriffe zu stoppen.

"Ihr habt es nicht geschafft, den Angriff abzuwehren, der stundenlang andauerte. Wie wäre es also, wenn ihr uns 1.000.000 USD zahlt und wir euren Cybersicherheitsexperten beibringen, wie man den Angriff abwehrt, und wir den Angriff von unserer Seite aus stoppen? 1 Million USD ist ein Klacks für ein Unternehmen wie euch", forderte die Gruppe.

Während der DDoS-Angriffe auf Outlook erklärte die Gruppe, dass diese aus Protest gegen die Beteiligung der USA an der sudanesischen Politik durchgeführt würden.

"Dies ist eine fortlaufende Kampagne gegen US-amerikanische Unternehmen und Infrastruktur aufgrund der Aussage des US-Außenministers, dass eine mögliche amerikanische Invasion des Sudan möglich ist", erklärte Anonymous Sudan.

Einige Cybersecurity-Forscher glauben jedoch, dass dies ein Ablenkungsmanöver ist und dass die Gruppe stattdessen mit Russland in Verbindung stehen könnte.

Diese Verbindung könnte in dieser Woche deutlicher geworden sein, als die Gruppe behauptete, ein "DARKNET-Parlament" zu bilden, das aus anderen pro-russischen Gruppen wie KILLNET und "REvil" besteht.

"Vor 72 Stunden hatten drei Anführer von Hackergruppen aus Russland und dem Sudan im DARKNET-Parlament eine reguläre Sitzung und kamen zu einer gemeinsamen Entscheidung", warnte die Gruppe vor bevorstehenden Angriffen auf die europäische Bankeninfrastruktur.

"Heute beginnen wir, Sanktionen gegen die europäischen Banküberweisungssysteme SEPA, IBAN, WIRE, SWIFT, WIRE umzusetzen."

Obwohl bisher keine Anzeichen dafür vorliegen, dass Angriffe auf europäische Bankensysteme begonnen haben, hat die Gruppe gezeigt, dass sie über erhebliche Ressourcen verfügt, und Finanzinstitute sollten auf mögliche Störungen vorbereitet sein.
 
+ Multi-Zitat Zitieren
Auf dieses Thema antworten