Die E-Mail-Accounts von rund 150 Regierungsbehörden, Think-Tanks, Beratungsfirmen und NGO sind von einem Phishing-Angriff betroffen. Das hat Microsoft in einem Blogpost mitgeteilt. Dahinter steckt demnach Nobelium, die gleiche Gruppe wie hinter dem Solarwinds-Hack im Herbst.

Die betroffenen Organisationen seien über 24 Länder verteilt, wobei die meisten in den USA ansässig seien. Mindestens ein Viertel der Organisationen sei im Bereich der humanitären Entwicklungshilfe aktiv.

Die Angreifer hätten sich zunächst Zugriff auf Kontakte der Behörde für Internationale Entwicklungszusammenarbeit der USA verschafft. Dafür hätten sie den Account der Behörde bei dem Online-Marketing-Unternehmen Constant Contact gekapert und von dort aus Phishing-Mails verschickt.

Ein in diesen Mails verschickter Link verwies auf eine Datei mit einer Hintertür, über die die Hacker sowohl Daten stehlen als auch weitere Computer hätten infizieren können.

Viele der Mails wurden automatisch blockiert. Außerdem seien die potenziell betroffenen Geräte durch Windows Defender vor der Malware geschützt. Daher gebe es aktuell keine Hinweise auf einen tatsächlichen Schaden.

Obwohl die Hacker in diesem Fall nicht erfolgreich waren, hält Microsoft den Angriff vor dem Hintergrund des Solarwinds-Hacks für relevant. Denn inzwischen werde die Strategie von Nobelium deutlich, sich Zugang zu Technologieanbietern zu verschaffen und deren Kunden zu infizieren. Das erhöhe die Gefahr eines Kollateralschadens und eines Vertrauensverlusts in technische Infrastruktur.

Darüber hinaus zieht Microsoft eine Parallele zwischen den Aktivitäten von Nobelium und den politischen Interessen Russlands. Staatlich gesteuerte Hackerangriffe könnten nicht ignoriert werden. Microsoft fordert klare Regeln für Nationalstaaten im Cyberspace und Konsequenzen bei Verstößen gegen diese Regeln.

Die US-Regierung hatte im April den russischen Auslandsgeheimdienst SWR für den Solarwinds-Hack verantwortlich gemacht. Der Kreml wies die Vorwürfe zurück.