Kinesiske Hackere Udnytter Angiveligt en Fejl i Microsoft Exchange til at Stjæle Opkaldsdata

I starten af marts afslørede Microsoft, at fejl i dets Microsoft Exchange-software blev udnyttet af en kinesisk hackergruppe kendt som Hafnium. Gruppen havde, afslørede det, udført målrettede angreb på flere organisationer. Dette inkluderer advokatfirmaer, forsvarskontraktører, NGO’er og endda forskere i infektionssygdomme. De sårbare systemer, der blev målrettet, omfatter e-mailplatforme brugt af disse organisationer.

Når angrebene finder sted, efterlader hackerne et værktøj kendt som et web shell. Et web shell er et topbeskyttet hackingværktøj, der er let tilgængeligt over internettet. Dette gør uopdaterede Exchange-servere mest sårbare. Dette skyldes, at web shell giver hackeren ubegrænset fjernadgang til offerets computer. Der er fremkommet rapporter om, at hundredtusinder af Microsoft Exchange-servere er blevet kompromitteret på denne måde. Hver kompromitteret server repræsenterer en organisation, der bruger Exchange som en del af sin administrative opsætning.

Hafnium er også blevet beskyldt for en række angreb på et telekommunikationsselskab i Sydøstasien. I dette tilfælde rettede hackerne deres angreb mod og stjal opkaldslogfiler fra det unavngivne selskab, der startede fra slutningen af 2020, selv før Microsoft Exchange-hacket blev opdaget. 

Hackergruppen har været i drift siden 2017 og har formået at undgå opdagelse hele tiden. En rapport i 2019 afslørede, at gruppen brød sikkerheden hos 10 telekommunikationsselskaber i Afrika, Mellemøsten, Europa og Asien. I øjeblikket har gruppen sluttet sig til to andre hackerteams med forbindelser til Kina for at udføre de samme typer angreb.

Opdagelse

Cybersecurity-firmaet Volexity får æren for først at have opdaget bruddet. Firmaet bemærkede en massiv overførsel af data fra Microsoft Exchange’s servere i starten af januar 2021. Desværre var dette i en periode, hvor verden var distraheret af optøjerne ved USA’s Capitol. Steven Adair, præsident for Volexity, udtalte, at hackerne sandsynligvis ville fremskynde deres handlinger i de kommende måneder. Organisationer, som er ude af stand til at foretage de nødvendige ændringer til deres systemer og uploade de sikkerhedsopgraderinger, som Microsoft gjorde tilgængelige, vil være mest sårbare. 

“Så slemt som det er nu, tror jeg, det er ved at blive meget værre,” sagde Adair. “Dette giver dem en begrænset mængde mulighed for at gå og udnytte noget. Opdateringen kommer ikke til at løse det, hvis de har efterladt deres bagdør.” 

Microsofts reaktion

I en hurtig reaktion udgav Microsoft den 2. marts sikkerhedsopdateringer for at tackle de sårbarheder, som hackerne udnyttede i Exchange server versionerne 2013 til 2019.

Virksomheden udtalte yderligere, at den arbejdede sammen med USA’s Cybersecurity & Infrastructure Security Agency (CISA) for at tilbyde vejledning til kunderne om vejen frem.  “Den bedste beskyttelse er at anvende opdateringer så hurtigt som muligt på alle berørte systemer,” sagde en talsperson for virksomheden. 

Microsoft tilføjede dog, at angrebene ikke påvirkede kunder, der bruger Exchange Online Service. Ikke desto mindre er det sikkert, at de fleste af de organisationer, der er blevet kompromitteret, brugte en form for Microsoft Outlook Web Access (OWA), ud over interne Exchange-servere.

Link til Kina

I juli beskyldte Det Hvide Hus officielt Kina for at udnytte fejlen i Microsoft Exchange til at udføre angrebet. USA udsendte en erklæring, der opfordrede de kinesiske myndigheder til at “overholde normerne for internationale relationer og ikke tillade, at dets territorium bliver brugt til ondsindede cyberaktiviteter, samt at tage alle passende foranstaltninger og rimeligt tilgængelige og gennemførlige skridt til at opdage, undersøge og adressere situationen.”

Assaf Dahan, leder af målforskning hos Cybereason, et cyberteknologifirma, fastslog hackeres forbindelser til Kina. Ifølge Dahan tyder angrebenes natur og overlapningen af taktikker og mål på, at hackerne har samme oprindelse – den kinesiske regering. Mere end det, har målene alle været af interesse for de kinesiske myndigheder, mest vigtigt, politiske dissidenter.

Der er dog ingen konkret måde at koble angrebene tilbage til Kina. Dette skyldes, at det er svært at spore angreb på telekommunikationsudbydere til bestemte personer eller regeringer. Det er meget lettere, hvis angrebene er på individuel basis, såsom hvor spyware er indlejret på en offers enhed. At gå efter teleudbydere har også en anden fordel: det slører identiteten af de endelige mål. Telebrugere kommer fra en stor pulje af individer fra flere lande. Da ingen specifik slutbruger er målrettet, vil retshåndhævende myndigheder finde det svært at opdage angrebene eller forhindre dem. 

Ifølge Dahan, selvom de primære mål for angrebene på Microsoft Exchange var lande i Sydøstasien, er der mulighed for, at personer i andre regioner også kunne have været målrettet. 

En top-niveau sikkerhedsekspert nævnte, at det var forbløffende naturen af angrebene fra Kina. Sikkerhedseksperten afslørede, at trækket var hensynsløst og ude af karakter for Kina.

De kinesiske myndigheder nægtede som forventet ansvaret for angrebet.