211service.com
Jak čínský útok na Microsoft eskaloval v bezohledné hackerské řádění
Demetrius Freeman-Pool/Getty Images
Čínští hackeři nejprve vedli pečlivou kampaň. Dva měsíce využívali slabiny e-mailových serverů Microsoft Exchange, pečlivě si vybírali své cíle a pokradmu kradli celé poštovní schránky. Když to vyšetřovatelé nakonec pochopili, vypadalo to jako typická online špionáž – ale pak se věci dramaticky zrychlily.
Kolem 26. února se úzký provoz proměnil v něco mnohem většího a mnohem chaotičtější. Jen o několik dní později Microsoft tyto hacky veřejně odhalil – hackeři jsou nyní známí jako Hafnium – a vydal bezpečnostní opravu. V té době však útočníci hledali cíle napříč celým internetem: kromě desítek tisíc hlášeno obětí v USA, vlád po celém světě oznamující že byli také kompromitováni. Nyní nejméně 10 hackerských skupin, z nichž většinu tvoří týmy kybernetické špionáže podporované vládou, využívá zranitelnosti na tisících serverů ve více než 115 zemích, podle na bezpečnostní firmu ESET.
Související příběh
Jak mohou důvěryhodné údaje chránit soukromí Nemůžeme očekávat, že se lidé budou v matoucím světě shromažďování dat pohybovat sami. Je čas spojit síly.
Zatímco prezident Joe Biden uvažuje oplácet proti Ruští hackeři, jejichž útok na jinou softwarovou společnost SolarWinds , který se stal veřejností v prosinci, se hack Hafnium stal obrovským free-for-all a jeho důsledky mohou být ještě horší. Zatímco odborníci spěchají zacelit díry, které se otevřely čínským hackováním, úředníci říkají, že americká vláda se úzce soustředí na to, co se děje vedle tisíců nově zranitelných serverů – a jak reagovat na Čínu.
Brány jsou dokořán otevřené každému zlému aktérovi, který chce udělat cokoliv s vaším Exchange serverem a zbytkem vaší sítě, říká Sean Koessel, viceprezident Volexity, firmy zabývající se kybernetickou bezpečností, která pomohla odhalit hackerskou aktivitu. Nejlepším případem je špionáž – někdo, kdo chce jen ukrást vaše data. Nejhorším případem je pronikání ransomwaru a jeho nasazení v celé síti.
Rozdíl mezi těmito dvěma útoky nespočívá pouze v technických detailech nebo dokonce v tom, která země je spáchala. Přestože si kompromitovaný software SolarWinds stáhlo 18 000 společností, počet skutečných cílů byl jen zlomek této velikosti. Hafnium bylo mezitím mnohem nevybíravější.
Obě začaly jako špionážní kampaně, ale rozdíl je ve skutečnosti, jak byly vedeny, říká Dmitri Alperovitch, předseda Silverado Policy Accelerator. Velmi pečlivě byla provedena ruská kampaň SolarWinds, kde Rusové šli za cíli, na kterých jim záleželo, a všude jinde uzavřeli přístup, aby se ani oni, ani nikdo jiný nedostal do těch cílů, o které nebyl zájem.
Porovnejte to s čínskou kampaní, říká.
27. února si uvědomí, že oprava vyjde, a doslova skenují svět, aby všechny kompromitovali. Zanechali webové skořápky, které nyní mohou umožnit ostatním dostat se do těchto sítí, potenciálně dokonce i aktérům ransomwaru. Proto je to velmi lehkomyslné, nebezpečné a je třeba na to reagovat.
Masové vykořisťování
Začátek kampaně Hafnium byl velmi pod radarem, říká Koessel.
Většina bezpečnostních kontrol tento hacking propásla: bylo zjištěno, až když si Volexity všimla podivných a specifických požadavků na internetový provoz zákazníkům společnosti, kteří provozovali své vlastní e-mailové servery Microsoft Exchange.
Měsíční vyšetřování ukázalo, že ke krádežím celých poštovních schránek byly použity čtyři vzácné exploity zero-day – potenciálně zničující pro zúčastněné jednotlivce a společnosti, ale v tuto chvíli bylo jen málo obětí a škody byly relativně omezené. Volexity spolupracoval s Microsoftem týdny na opravě zranitelnosti, ale Koessel říká, že na konci února viděl velkou změnu. Nejen, že začal stoupat počet obětí, ale také přibylo hackerských skupin.
Není jasné, jak se několik vládních hackerských skupin dozvědělo o zranitelnosti zero-day předtím, než Microsoft učinil jakékoli veřejné oznámení. Proč tedy rozsah exploatace explodoval? Možná, někteří naznačují, že si hackeři uvědomili, že jejich čas téměř vypršel. Pokud věděli, že se blíží patch, jak to zjistili?
Myslím, že je velmi neobvyklé vidět tolik různých [pokročilých hackerských] skupin, které mají přístup k exploitu pro zranitelnost, zatímco podrobnosti nejsou veřejné, říká Matthieu Faou, který vede výzkum hacků Exchange pro ESET. Existují dvě hlavní možnosti, říká. Buď byly podrobnosti o zranitelnosti nějak prozrazeny aktérům hrozeb, nebo jiný výzkumný tým zranitelnosti pracující pro aktéry hrozeb nezávisle objevil stejnou sadu zranitelností.
Volexity měsíc sledovala, jak Hafnium číhá v sítích, a podnikla kroky k jejich odstranění, než Microsoft vydá opravu. To mohl být spouštěč, kvůli kterému Hafnium eskalovalo. Nebo, jak navrhuje Alperovitch, hackeři mohli přijít na jiný způsob, jak se blíží oprava – bezpečnostní týmy z celého odvětví, včetně těch v Microsoftu, si pravidelně předem vyměňují informace o zranitelnostech a opravách. Jakmile Microsoft učinil veřejné oznámení, do boje se zapojilo ještě více hackerských skupin.
Den po vydání oprav jsme začali pozorovat, že mnohem více aktérů hrozeb hromadně skenuje a kompromituje servery Exchange, říká Faou. Všechny kromě jedné z aktivních hackerských skupin jsou známé hackerské týmy podporované vládou zaměřené na špionáž. Je však nevyhnutelné, že stále více aktérů hrozeb, včetně provozovatelů ransomwaru, bude mít dříve nebo později přístup k exploitům, říká.
Jak aktivita narůstala, Volexity viděl další změnu v chování: hackeři opustili webové shelly, když se dostali do těchto systémů. Jedná se o jednoduché hackerské nástroje, které umožňují trvalý, vzdálený přístup zadními vrátky k infikovaným počítačům, aby je hacker mohl ovládat. Mohou být účinné, ale jsou také poměrně hlučné a snadno rozpoznatelné.
Jakmile hackeři upustí shell na stroj, mohou se vracet, dokud nebude vyčištěn – dokonce ani oprava zranitelností, které byly původně zaviněné, shelly nevyčistí. Samotný webový shell je však jen stěží zabezpečen a může být kooptován jinými hackery – nejprve se nabourají na servery Exchange a ukradnou e-maily a poté zaútočí na celé sítě.
Jsou to dveře se zámkem, které lze snadno vybrat, říká Alperovitch, spoluzakladatel bezpečnostní firmy CrowdStrike, který společnost opustil v loňském roce.
Jiná výzva
Hackování stále narůstá. Společnost Microsoft v pondělí učinila vzácný krok, a to vydáním bezpečnostních záplat pro nepodporované verze Exchange, které by za normálních okolností byly příliš staré na zabezpečení – což je známka toho, jak závažný útok podle společnosti je. Microsoft to odmítl komentovat.
Zatímco Bílý dům zvažuje odpověď, riziko roste. Bidenova administrativa se pomalu vypořádává se sofistikovanou špionáží SolarWinds, ale chaos hafniových hacků představuje zcela jinou výzvu – jak v řešení problému, tak v reakci na hackery, kteří za ním stojí.
Je třeba poslat Číňanům zprávu, že to je nepřijatelné, tvrdí Alperovitch. USA musí dát jasně najevo, že je poženeme k odpovědnosti za jakoukoli škodu, která vznikne v důsledku toho, že pachatelé zločinu využívají tento přístup, říká, a musíme je přimět, aby tyto webové skořápky ze všech obětí co nejdříve odstranily.