Eine russische Hackergruppe, die mit der russischen Regierung in Verbindung steht, hat Dutzende von Unternehmen weltweit mit einer Kampagne angegriffen, um Anmeldedaten zu stehlen, indem sie Benutzer in Microsoft Teams-Chats ansprach und sich als Mitarbeiter des technischen Supports ausgab, so Microsoft-Forscher am Mittwoch.

Diese "sehr gezielten" Social-Engineering-Angriffe haben seit Ende Mai "weniger als 40 einzelne globale Organisationen" betroffen, so Microsoft-Forscher in einem Blog und fügten hinzu, dass das Unternehmen eine Untersuchung durchführt.

Die russische Botschaft in Washington reagierte nicht sofort auf eine Anfrage nach einem Kommentar.

Die Hacker richteten Domains und Konten ein, die wie ein technischer Support aussahen und versuchten, Teams-Benutzer in Chats zu verwickeln und sie dazu zu bringen, Aufforderungen zur Multifaktor-Authentifizierung (MFA) zuzustimmen, so die Forscher.

"Microsoft hat den Akteur davon abgehalten, die Domänen zu verwenden, und untersucht weiterhin diese Aktivität und arbeitet daran, die Auswirkungen des Angriffs zu beheben", fügten sie hinzu.

Teams ist die firmeneigene Kommunikationsplattform von Microsoft mit mehr als 280 Millionen aktiven Nutzern, wie aus dem Finanzbericht des Unternehmens vom Januar hervorgeht.

MFAs sind eine weithin empfohlene Sicherheitsmaßnahme, um Hackerangriffe oder den Diebstahl von Anmeldedaten zu verhindern. Die Angriffe auf Teams deuten darauf hin, dass Hacker neue Wege finden, um sie zu umgehen.

Die Hackergruppe, die hinter diesen Aktivitäten steckt und in der Branche als Midnight Blizzard oder APT29 bekannt ist, hat ihren Sitz in Russland und wird von den Regierungen Großbritanniens und der USA mit dem Auslandsgeheimdienst des Landes in Verbindung gebracht, so die Forscher.

"Die Organisationen, auf die diese Aktivität abzielt, deuten wahrscheinlich auf spezifische Spionageziele von Midnight Blizzard hin, die auf die Regierung, Nichtregierungsorganisationen (NGOs), IT-Dienstleistungen, Technologie, diskrete Fertigung und den Mediensektor abzielen", so die Forscher, ohne die Namen der Ziele zu nennen.

"Dieser jüngste Angriff in Kombination mit früheren Aktivitäten zeigt, dass Midnight Blizzard seine Ziele mit neuen und bekannten Techniken verfolgt", schreiben die Forscher.

Midnight Blizzard ist seit 2018 dafür bekannt, solche Organisationen, vor allem in den USA und Europa, anzugreifen, fügten sie hinzu.

Die Hacker nutzten bereits kompromittierte Microsoft 365-Konten von kleinen Unternehmen, um neue Domains zu erstellen, die den Anschein erweckten, für den technischen Support zuständig zu sein, und in denen das Wort "Microsoft" vorkam, so die Details im Microsoft-Blog. Konten, die mit diesen Domains verknüpft waren, haben dann Phishing-Nachrichten über Teams an Köder verschickt, so die Forscher. (Bericht von Zeba Siddiqui in San Francisco; Bearbeitung durch Gerry Doyle)