Quick Facts
Gerningsmand(e)Hafnium
Offer(e)Titusinder af organisationer globalt
GerningsstedGlobal
Gerningsdato2021-01
ForbrydelsestypeCyberspionage
Januar 2021: Chinesische Hackergruppe Hafnium greift Microsoft Exchange an
Im Januar 2021 startete Hafnium, eine dem chinesischen Ministerium für Staatssicherheit (MSS) zugerechnete Hackergruppe, einen der verheerendsten Cyberangriffe der jüngeren Geschichte. Die Angreifer nutzten vier bis dahin unbekannte Sicherheitslücken in Microsofts Exchange Server aus. Als Microsoft den Angriff am 2. März 2021 öffentlich machte, hatten die bereits im Januar begonnenen Attacken weltweit Zehntausende Server bei Tausenden Organisationen kompromittiert.
Zu den Opfern zählten Regierungsbehörden, Rüstungsunternehmen, Anwaltskanzleien und Forschungseinrichtungen. Trotz Microsofts schneller Bereitstellung von Sicherheitsupdates hatten die Angreifer bereits Hintertüren installiert, die ihnen dauerhaften Zugang zu den Netzwerken der Opfer sicherten – eine latente Bedrohung, die noch lange nach der offiziellen Enthüllung fortbestand.
Hafnium: Chinas Spezialisten für US-Spionage
Microsoft Exchange Server, ein zentraler Bestandteil der Kommunikationsinfrastruktur unzähliger Organisationen, ist seit Jahren ein bevorzugtes Ziel staatlich gesteuerter Hacker. Hafnium, von Microsoft als "hochspezialisierte und äußerst raffinierte" Gruppe beschrieben, soll seit den 2010er Jahren relativ unentdeckt operiert haben. Die dem chinesischen Ministerium für Staatssicherheit zugeordnete Gruppe konzentrierte sich primär auf Spionageziele in den USA – insbesondere kritische Infrastrukturen wie Biowissenschaften, Verteidigungsindustrie und Menschenrechtsorganisationen.
Zeitlinie
5. Januar 2021
Microsoft wird informiert
Microsoft erhält erste Informationen über die Schwachstellen in Exchange Server von Sicherheitsforschern.
6. Januar 2021
Erste dokumentierte Angriffe
Logdaten zeigen erste Hafnium-Angriffe auf ausgewählte Ziele in den USA und Europa. Gezielte Exfiltration von E-Mail-Postfächern beginnt.
2. März 2021
Microsoft veröffentlicht Patches
Microsoft macht die Schwachstellen öffentlich und veröffentlicht Sicherheitsupdates für Exchange Server. Zehntausende Server bereits kompromittiert.
3. März 2021
Massenangriffe beginnen
Nach Veröffentlichung der Patches beginnen verschiedene Hackergruppen massenhaft ungepatchte Server anzugreifen. Eskalation zu globalem Sicherheitsnotstand.
10. März 2021
Über 250.000 Server betroffen
Sicherheitsforscher schätzen, dass weltweit über 250.000 Exchange-Server kompromittiert wurden. Ransomware-Angriffe nehmen zu.
19. Juli 2021
Offizielle Attribution an China
USA, EU und Verbündete machen China offiziell für die Hafnium-Angriffe verantwortlich. Diplomatische Spannungen nehmen zu.
Das Ziel: die Beschaffung sensibler nachrichtendienstlicher Informationen für den chinesischen Staat.
Technische Details: Die Schwachstellen hinter dem Hafnium-Angriff
Der hochentwickelte Cyberangriff nutzte vier spezifische Sicherheitslücken, die gemeinsam als ProxyLogon bekannt wurden und in Kombination äußerst gefährlich waren. Zunächst wurde eine Server-Side Request Forgery-Schwachstelle (CVE-2021-26855) ausgenutzt, um die Authentifizierung zu umgehen und Administrator-Zugriff zu erlangen. Anschließend ermöglichte ein Fehler im Unified Messaging-Dienst (CVE-2021-26857) die Fernausführung von Code.
Zwei weitere Schwachstellen beim Schreiben von Dateien (CVE-2021-26858 und CVE-2021-27065) ermöglichten die Installation von Webshells – kleinen, bösartigen Skripten, darunter das berüchtigte "China Chopper"-Tool, das den Angreifern dauerhaften Backdoor-Zugang verschaffte. Ein kritischer Faktor: Die Angriffe konnten über den Standard-HTTPS-Port 443 durchgeführt werden, was sie praktisch nicht von legitimer, verschlüsselter Internetkommunikation unterscheidbar machte.
Früher Januar 2021: Hafnium stiehlt E-Mail-Postfächer
Logdatenanalysen von Sicherheitsfirmen zeigen, dass die frühen Phasen des Angriffs bereits am 6. Januar 2021 begannen. Hafnium konzentrierte sich darauf, komplette E-Mail-Postfächer von sorgfältig ausgewählten, hochrangigen Zielen zu exfiltrieren – primär in den USA und Europa. Dies stellte einen massiven Datendiebstahl dar.
Microsoft wurde am 5. Januar 2021 über die Schwachstellen informiert. Die Sicherheitsupdates wurden jedoch erst am 2. März 2021 veröffentlicht – etwa zwei Monate später.
Das Patch-Paradoxon: Microsofts Update löst Angriffseskalation aus
Die Veröffentlichung der Sicherheitsupdates löste paradoxerweise eine unerwartete Eskalation aus. Sowohl Sicherheitsforscher als auch andere kriminelle Gruppen begannen sofort, die nun öffentlich bekannten Schwachstellen zu analysieren und für eigene Zwecke zu nutzen. Was als gezielte Spionagekampagne einer staatlichen Hackergruppe begann, entwickelte sich binnen Tagen zu einem globalen Sicherheitsnotstand.
Kriminelle Banden erkannten das Potenzial und begannen massenhaft ungepatchte Exchange-Server anzugreifen – nicht mehr für Spionage, sondern zur Installation von Ransomware und Kryptominern. Die Zahl der kompromittierten Server explodierte von anfänglich einigen tausend auf schätzungsweise über 250.000 weltweit.
Globale Auswirkungen und Reaktionen
Die Hafnium-Attacke traf Organisationen aller Größenordnungen. Besonders betroffen waren kleinere Unternehmen und lokale Behörden, die oft nicht über die Ressourcen für schnelle Sicherheitsupdates verfügten. In Europa meldeten Tausende Organisationen Kompromittierungen, in den USA erklärte die Cybersecurity and Infrastructure Security Agency (CISA) den Vorfall zu einem nationalen Sicherheitsnotstand.