Microsoft-Sicherheitsforscher haben im Oktober eine Phishing-Kampagne des russischen SVR (Russischer Auslands-Nachrichtendienst) beobachtet, die auf Reseller und Managed Service Provider abzielt.
Laut Microsoft, das diesen Bedrohungsakteur als „Nobelium“ bezeichnet, handelt es sich dabei um denselben Akteur handelt, der auch hinter den SolarWinds-Angriffen stand.
Forschungsergebnisse von Microsoft
Microsoft äußert sich zu diesen neuerlichen Cyber-Attacken wie folgt: „Nobelium hat versucht, die Vorgehensweise früherer Angriffe zu wiederholen, indem er Organisationen attackierte, die ein wichtiger Bestandteil der globalen IT-Lieferkette sind. Dieses Mal nahm es einen anderen Teil der Lieferkette ins Visier: Wiederverkäufer und andere Technologiedienstleister, die Cloud-Dienste und andere Technologien im Auftrag ihrer Kunden anpassen, bereitstellen und verwalten. Wir glauben, dass Nobelium letztendlich hofft, den direkten Zugang, den Wiederverkäufer zu den IT-Systemen ihrer Kunden haben, auszunutzen und sich so leichter als vertrauenswürdiger Technologiepartner eines Unternehmens auszugeben, um Zugang zu ihren nachgeschalteten Kunden zu erhalten.“
Microsoft startete die Beobachtung der jüngsten Kampagne im Mai 2021 und benachrichtigte die betroffenen Partner und Kunden, während gleichzeitig neue technische Unterstützung und Anleitungen für die Händlergemeinschaft entwickelt wurde. Seit Mai hat Microsoft mehr als 140 Vertriebspartner und Technologiedienstleister benachrichtigt, die von Nobelium angegriffen worden sind. Sie setzen die Untersuchungen fort und gehen davon aus, dass bis zu 14 dieser Wiederverkäufer und Dienstanbieter kompromittiert wurden.
Die Forscher stellen zudem fest, dass Nobelium keine ausgefeilten Techniken einsetzt, um sich Zugang zu verschaffen, sondern sich einfach auf Phishing und Passwort-Spraying verlässt. Die Angriffe, die in der jüngsten Kampagne gegen Wiederverkäufer und Dienstanbieter beobachtet wurden, zielten nicht darauf ab, einen Fehler oder eine Schwachstelle in der Software auszunutzen, sondern verwendeten bekannte Techniken wie Passwort-Spray und Phishing, um legitime Anmeldedaten zu stehlen und privilegierten Zugang zu erhalten.
Awareness Training als effektiver Schutz vor Social-Engineering-Attacken
Informierte und widerstandsfähige Benutzer sind der beste Schutz gegen Angriffe, die auf Social Engineering beruhen. Die effektivste Maßnahme zur Vorbeugung solcher Angriffe ist, ein umfassenden Security Awareness Training für die Mitarbeiter anzubieten und umzusetzen. Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings ist, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Zunächst werden sogenannte Baseline-Tests durchgeführt, die es ermöglichen, den Anteil der für Phishing anfälligen Benutzer zu ermitteln. Zudem sollte man herausfinden, auf welche Art von Angriffen sie hereinfallen und auf welche nicht, um entsprechende Daten zur Messung des eintretenden Trainingserfolgs zu generieren.
Die Schulung der Benutzer mit interaktivem und ansprechendem On-Demand-Material ist essenziell, damit die Botschaft wirklich verinnerlicht wird und nicht nur oberflächlich behandelt und gleich wieder vergessen wird. Weiterhin sollten die internen Schulungen monatlich wiederholt und auf einer Plattform gespeichert und analysiert werden, um die Inhalte zu vertiefen und den künftigen Lernprozess erfolgreich fortzusetzen.
Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden und neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als menschliche Firewall geschult und eingesetzt werden. Benutzer, die ein Sicherheitstraining absolvieren, fallen weitaus seltener auf Phishing-Angriffe herein, ganz gleich, wie treffsicher die Nachahmung ist. Indem sie die Notwendigkeit verstärken, unaufgeforderte und unerwartete E-Mails auf Absenderangaben, Inhalt, Art der Anfrage zu prüfen, ist es möglich, nahezu jeden Phishing-Angriff einfach zu identifizieren und adäquat zu reagieren.