211service.com
Čtyři nové hackerské skupiny se připojily k probíhající ofenzívě proti e-mailovým serverům společnosti Microsoft
Foto Matthew Manuel na Unsplash
Hackerská kampaň napojená na čínskou vládu, kterou Microsoft odhalil tento týden, rychle nabrala na síle. Nejméně čtyři další odlišné hackerské skupiny nyní útočí na kritické chyby v e-mailovém softwaru Microsoftu v kybernetické kampani, kterou americká vláda popisuje jako rozsáhlé domácí a mezinárodní vykořisťování s potenciálním dopadem na stovky tisíc obětí po celém světě.
Počínaje lednem 2021 začali čínští hackeři známí jako Hafnium využívat zranitelnosti serverů Microsoft Exchange. Ale protože společnost veřejně odhaleno do kampaně v úterý se připojily další čtyři skupiny a původní čínští hackeři upustili od předstírání utajení a zvýšili počet útoků, které provádějí. Rostoucí seznam obětí zahrnuje desítky tisíc amerických podniků a vládních úřadů, na které se nové skupiny zaměřují.
Existuje nejméně pět různých skupin aktivit, které zřejmě využívají zranitelnosti, říká Katie Nickels, která vede zpravodajský tým ve firmě Red Canary zabývající se kybernetickou bezpečností, která tyto hackery vyšetřuje. Při sledování kybernetických hrozeb seskupují analytici inteligence shluky hackerských aktivit podle specifických technik, taktik, postupů, strojů, lidí a dalších charakteristik, které pozorují. Je to způsob, jak sledovat hackerské hrozby, kterým čelí.
Hafnium je podle Microsoftu sofistikovaná čínská hackerská skupina, která dlouhodobě vede kyberšpionážní kampaně proti Spojeným státům. Jsou to vrcholní predátoři – přesně ten druh, který je vždy pečlivě sledován oportunistickými a chytrými mrchožrouty.
Jakmile společnost Microsoft v úterý oznámila, aktivita rychle nastartovala na vyšší rychlost. Ale kdo přesně tyto hackerské skupiny jsou, co chtějí a jak k těmto serverům přistupují, zůstává nejasné. Je možné, že původní skupina Hafnium prodala nebo sdílela svůj exploit kód nebo že jiní hackeři reverzně analyzovali exploity na základě oprav, které Microsoft vydal, vysvětluje Nickels.
Problém je v tom, že je to všechno tak nejasné a je tam tolik překrývání, říká Nickels. Co jsme viděli, je, že od doby, kdy Microsoft publikoval o Hafnium, se rozšířilo za hranice Hafnia. Viděli jsme aktivitu, která vypadá odlišně od taktiky, technik a postupů, než o kterých referovali.
Využitím zranitelností na serverech Microsoft Exchange, které organizace používají k provozování svých vlastních e-mailových služeb, jsou hackeři schopni vytvořit webový shell – vzdáleně přístupný hackerský nástroj, který snadno umožňuje přístup zadními vrátky a kontrolu nad infikovaným počítačem – který jim umožňuje ovládejte napadený server přes internet a poté se otočte, aby ukradli data z celé sítě jejich cíle. Webový shell znamená, že i když Microsoft vydal opravy nedostatků – které podle společnosti do pátku použilo pouze 10 % zákazníků Exchange –, protivník má stále přístup ke svým cílům zadními vrátky.
Použití softwarových oprav společnosti Microsoft je zásadním prvním krokem, ale celkové úsilí o vyčištění bude pro mnoho potenciálních obětí mnohem komplikovanější, zvláště když se hackeři volně přesunou do jiných systémů v síti.
Úzce spolupracujeme s CISA [Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury], dalšími vládními agenturami a bezpečnostními společnostmi, abychom zajistili, že našim zákazníkům poskytneme nejlepší možné rady a zmírnění, říká mluvčí Microsoftu. Nejlepší ochranou je aplikovat aktualizace co nejdříve na všechny ovlivněné systémy. Nadále pomáháme zákazníkům poskytováním dalších pokynů pro vyšetřování a zmírňování. Zákazníci, kterých se to týká, by měli kontaktovat naše týmy podpory s žádostí o další pomoc a zdroje.
Vzhledem k tomu, že na zranitelná místa nyní útočí několik skupin, očekává se, že hacky neúměrně ovlivní organizace, které si nejméně mohou dovolit se proti nim bránit, jako jsou malé podniky, školy a místní samosprávy. řekl bývalý americký úředník pro kybernetickou bezpečnost Chris Krebs.
Ale proč? Krebs zeptal se na Twitteru. Je to flex v raných dnech administrátora Bidena, aby otestoval jejich odhodlání? Je to gang kyberzločinu, který se vymkl kontrole? Dodavatelé se zbláznili?
Související příběh
Obnova z hacku SolarWinds může trvat 18 měsíců Šéf agentury, která vede americké snahy o nápravu ruského hackerského útoku, říká, že obnova bude trvat velmi dlouho.
S potenciálně stovkami tisíc obětí po celém světě tato hackerská kampaň na burze ovlivnila více cílů než hack SolarWinds, kterým v současnosti vládne USA. bojující uklidit. Ale stejně jako u hacku SolarWinds, čísla nejsou všechno: ruští hackeři stojící za SolarWinds byli velmi disciplinovaní a šli za konkrétními vysoce hodnotnými cíli, i když měli potenciální přístup k mnoha tisícům.
Totéž platí i zde. I když jsou celková čísla alarmující, ne všechny kompromisy jsou katastrofální.
Všichni tito nejsou stvořeni sobě rovni, říká Nickels. Existují zranitelné servery Exchange, kde jsou dveře otevřené, ale nevíme, zda jimi prošel protivník. Existují mírně kompromitované servery; možná došlo k vypuštění webového prostředí, ale nic jiného. Pak je tu druhý konec spektra, kde protivníci měli následnou aktivitu a přesunuli se do jiných systémů.
Je vzácné, aby se Bílý dům vyjadřoval k otázkám kybernetické bezpečnosti, ale Bidenova administrativa měla důvod hodně mluvit o hackování během prvních dvou měsíců ve funkci, mezi hackem SolarWinds a tímto posledním incidentem.
Jsme znepokojeni tím, že existuje velký počet obětí, a pracujeme s našimi partnery, abychom pochopili rozsah tohoto, řekla tisková tajemnice Bílého domu Jen Psaki během páteční odpolední tiskové konference. Vlastníci sítí musí také zvážit, zda již nebyli kompromitováni, a měli by okamžitě podniknout příslušné kroky.