Kiinalaiset hakkerit Hyödyntävät Väitetysti Microsoft Exchange -Haavoittuvuutta Varastaakseen Puhelutietoja

Alkuvuodesta Microsoft paljasti, että sen Microsoft Exchange -ohjelmistossa olevia puutteita oli hyödynnetty kiinalaisen hakkeriryhmän toimesta, joka tunnetaan nimellä Hafnium. Ryhmän paljastettiin tehneen kohdennettuja hyökkäyksiä useita organisaatioita vastaan. Tähän sisältyy lakifirmoja, puolustusurakoitsijoita, kansalaisjärjestöjä ja jopa tartuntatautien tutkijoita. Haavoittuviksi järjestelmiksi kohdistetut hyökkäykset sisälsivät näiden organisaatioiden käyttämiä sähköpostialustoja.

Kun hyökkäykset tapahtuvat, hakkerit jättävät jälkeensä työkalun, joka tunnetaan nimellä web shell. Web shell on erittäin suojattu hakkerointityökalu, joka on helposti saatavilla internetin kautta. Tämä tekee päivittämättömät Exchange-palvelimet erityisen haavoittuviksi. Tämä johtuu siitä, että web shell antaa hakkerille rajoittamattoman etäpääsyn uhrin tietokoneeseen. On raportoitu, että satoja tuhansia Microsoft Exchange -palvelimia on kompromisoitu tällä tavalla. Jokainen kompromisoitu palvelin edustaa organisaatiota, joka käyttää Exchangea osana hallinnollista kokoonpanoaan.

Hafniumia on myös syytetty joukosta hyökkäyksiä Kaakkois-Aasialaista telekommunikaatioyhtiötä vastaan. Tässä tapauksessa hakkerit kohdistivat ja varastivat puhelulokeja nimeämättömältä yhtiöltä alkaen myöhään 2020, jopa ennen kuin Microsoft Exchange -hyökkäys havaittiin.

Hakkeriryhmä on ollut toiminnassa vuodesta 2017 ja on onnistunut välttämään havaitsemisen koko ajan. Vuoden 2019 raportti paljasti, että ryhmä mursi 10 telekommunikaatioyhtiön turvallisuuden Afrikassa, Lähi-idässä, Euroopassa ja Aasiassa. Tällä hetkellä ryhmä on liittynyt kahteen muuhun hakkeritiimiin, joilla on yhteyksiä Kiinaan, suorittaakseen samantyyppisiä hyökkäyksiä. 

## Löydös

Kyberturvallisuusyritys Volexity on tunnustettu ensimmäisenä havainneeksi tietomurron. Yritys huomasi valtavan datan siirron Microsoft Exchangen palvelimilta alkuvuodesta 2021. Valitettavasti tämä tapahtui samaan aikaan, kun maailma oli häiriintynyt Yhdysvaltojen kongressitalon mellakasta. Volexityn presidentti Steven Adair totesi, että hakkerit todennäköisesti kiihdyttäisivät toimiaan tulevina kuukausina. Organisaatiot, jotka eivät pysty tekemään tarvittavia muutoksia järjestelmiinsä ja lataamaan Microsoftin saataville asettamia turvapäivityksiä, ovat kaikkein haavoittuvimpia. 

”Niin huonolta kuin se nyt näyttääkin, uskon, että se on kohta paljon pahempi,” Adair sanoi. ”Tämä antaa heille rajallisen määrän mahdollisuuksia mennä ja hyödyntää jotakin. Paikkaus ei korjaa sitä, jos he ovat jättäneet takaporttinsa auki.”

## Microsoftin vastaus

Nopeassa reaktiossa, 2. maaliskuuta, Microsoft julkaisi turvapäivityksiä käsitelläkseen haavoittuvuuksia, joita hakkerit hyödynsivät Exchange-palvelimen versioissa 2013–2019.

Yhtiö ilmoitti lisäksi työskentelevänsä Yhdysvaltojen kyberturvallisuus- ja infrastruktuuriturvallisuusviraston (CISA) kanssa tarjotakseen ohjeita asiakkaille jatkotoimenpiteitä varten. ”Paras suoja on soveltaa päivityksiä mahdollisimman pian kaikkiin vaikutuksen alaisiin järjestelmiin,” yhtiön edustaja sanoi.

Microsoft lisäsi kuitenkin, että hyökkäykset eivät vaikuttaneet asiakkaisiin, jotka käyttivät Exchange Online -palvelua. Siitä huolimatta on varmaa, että useimmat kompromissoidut organisaatiot käyttivät jonkinlaista Microsoft Outlook Web Access (OWA) -palvelua sisäisten Exchange-palvelimien lisäksi.

## Yhteys Kiinaan

Heinäkuussa Valkoinen talo syytti virallisesti Kiinaa Microsoft Exchangen haavoittuvuuden hyväksikäytöstä hyökkäyksen toteuttamiseksi. Yhdysvallat julkaisi lausunnon, jossa kehotettiin Kiinan viranomaisia ”noudattamaan kansainvälisen politiikan normeja ja estämään alueensa käyttämisen pahantahtoiseen kybertoimintaan sekä toteuttamaan kaikki asianmukaiset ja kohtuullisesti saatavilla olevat ja toteutettavissa olevat toimenpiteet tilanteen havaitsemiseksi, tutkimiseksi ja käsittelemiseksi.”

Assaf Dahan, Cybereason-nimisen kyberteknologiayrityksen kohdetutkimuksen johtaja, vahvisti hakkerien yhteydet Kiinaan. Dahanin mukaan hyökkäysten luonne ja taktiikoiden sekä kohteiden päällekkäisyydet viittaavat siihen, että hakkerit ovat peräisin samasta lähteestä – Kiinan hallituksesta. Lisäksi kohteet ovat kaikki olleet Kiinan viranomaisten kiinnostuksen kohteita, tärkeimpänä poliittiset dissidentit.

Kuitenkin ei ole konkreettista tapaa yhdistää hyökkäyksiä takaisin Kiinaan. Tämä johtuu siitä, että telekommunikaatioalan toimijoihin kohdistuvien hyökkäysten jäljittäminen tiettyihin henkilöihin tai hallituksiin on vaikeaa. Se on paljon helpompaa, jos hyökkäykset kohdistuvat yksilöihin, kuten tapauksissa, joissa vakoiluohjelma upotetaan uhrin laitteeseen. Teleoperaattoreihin kohdistuvilla hyökkäyksillä on myös toinen etu: se hämärtää loppukohteiden identiteettiä. Telekommunikaation käyttäjät tulevat suuresta joukosta yksilöitä useista eri maista. Koska mitään tiettyä loppukäyttäjää ei ole kohdennettu, lainvalvontaviranomaiset tulevat havaitsemaan hyökkäykset tai estämään ne vaikeaksi.

Dahanin mukaan, vaikka Microsoft Exchange -hyökkäysten ensisijaiset kohteet olivat Kaakkois-Aasian maat, on mahdollista, että myös muiden alueiden ihmisiä olisi voitu kohdistaa.

Huipputason turvallisuusasiantuntija mainitsi, että Kiinasta tulevien hyökkäysten luonne oli hämmentävä. Turvallisuusasiantuntija paljasti, että siirto oli harkitsematon ja poikkeava Kiinan normaalista toimintatavasta.

Kiinalaiset viranomaiset kielsivät odotetusti vastuun hyökkäyksestä.