Chinese Hackers Zouden Misbruik Maken van een Microsoft Exchange Fout Om Gespreksgegevens te Stelen
Begin maart onthulde Microsoft dat er gebreken in zijn Microsoft Exchange software werden uitgebuit door een Chinese hackersgroep bekend als Hafnium. De groep, zo werd onthuld, had gerichte aanvallen uitgevoerd op verschillende organisaties. Dit omvat advocatenkantoren, defensieaannemers, NGO’s en zelfs onderzoekers naar infectieziekten. De kwetsbare systemen die werden getarget omvatten e-mailplatforms die door deze organisaties worden gebruikt.
Wanneer de aanvallen plaatsvinden, laten de hackers een hulpmiddel achter dat bekend staat als een web shell. Een web shell is een zeer goed beveiligd hackhulpmiddel dat gemakkelijk toegankelijk is via het internet. Dit maakt ongepatchte Exchange-servers het meest kwetsbaar. Dit komt omdat de web shell de hacker onbeperkte externe toegang geeft tot de computer van het slachtoffer. Er zijn berichten naar buiten gekomen dat honderdduizenden Microsoft Exchange-servers op deze manier zijn gecompromitteerd. Elke gecompromitteerde server vertegenwoordigt een organisatie die Exchange gebruikt als onderdeel van haar administratieve opzet.
Hafnium wordt ook verantwoordelijk gehouden voor een reeks aanvallen op een Zuidoost-Aziatisch telecommunicatiebedrijf. In dit geval richtten de hackers zich op en stalen ze oproeplogboeken van het niet nader genoemde bedrijf vanaf eind 2020, zelfs voordat de Microsoft Exchange hack ontdekt werd.
De hackergroep is actief sinds 2017 en heeft al die tijd detectie weten te ontwijken. Een rapport uit 2019 onthulde dat de groep de beveiliging van 10 telecombedrijven in Afrika, het Midden-Oosten, Europa en Azië heeft geschonden. Op dit moment heeft de groep zich aangesloten bij twee andere hackerteams met banden met China om dezelfde soort aanvallen uit te voeren.
Ontdekking
Cybersecuritybedrijf Volexity wordt erkend als het bedrijf dat de inbreuk als eerste detecteerde. Het bedrijf merkte begin januari 2021 een massale overdracht van gegevens van Microsoft Exchange’s servers op. Helaas was dit in de periode dat de wereld afgeleid was door de rellen in het Capitool van de Verenigde Staten. Steven Adair, de president van Volexity, verklaarde dat de hackers hun acties in de komende maanden waarschijnlijk zullen versnellen. Organisaties die niet in staat zijn de vereiste wijzigingen aan hun systemen door te voeren en de beveiligingsupdates die Microsoft beschikbaar heeft gesteld te uploaden, zullen het meest kwetsbaar zijn.
“Zo slecht als het nu is, denk ik dat het nog veel erger gaat worden,” zei Adair. “Dit geeft hen een beperkte hoeveelheid mogelijkheid om iets te gaan exploiteren. De patch gaat dat niet oplossen als ze hun achterdeur hebben achtergelaten.”
Reactie van Microsoft
In een snelle reactie heeft Microsoft op 2 maart beveiligingsupdates uitgebracht om de kwetsbaarheden aan te pakken die hackers uitbuiten in Exchange server versies 2013 tot 2019.
Het bedrijf verklaarde verder dat het samenwerkte met de Cybersecurity & Infrastructure Security Agency (CISA) van de Verenigde Staten om klanten begeleiding te bieden over de te volgen weg. “De beste bescherming is om updates zo snel mogelijk toe te passen op alle getroffen systemen,” zei een woordvoerder van het bedrijf.
Microsoft voegde echter toe dat de aanvallen geen invloed hadden op klanten die de Exchange Online Service gebruiken. Desalniettemin is het zeker dat de meeste organisaties die gecompromitteerd zijn, op een of andere manier gebruikmaakten van Microsoft Outlook Web Access (OWA), naast interne Exchange-servers.
Link naar China
In juli beschuldigde het Witte Huis formeel China ervan de Microsoft Exchange fout te hebben uitgebuit om de aanval voort te zetten. De Verenigde Staten brachten een verklaring uit waarin ze de Chinese autoriteiten aanspoorden om “zich te houden aan de normen van internationale betrekkingen en niet toe te staan dat hun grondgebied wordt gebruikt voor kwaadaardige cyberactiviteiten, en alle passende maatregelen te nemen en redelijkerwijs beschikbare en haalbare stappen te ondernemen om de situatie te detecteren, te onderzoeken en aan te pakken.”
Assaf Dahan, hoofd van doelwitonderzoek bij Cybereason, een cyber technologiebedrijf, heeft de verbanden van de hackers met China vastgesteld. Volgens Dahan suggereren de aard van de aanvallen en de overlap van tactieken en doelwitten dat de hackers dezelfde oorsprong hebben – de Chinese overheid. Bovendien waren de doelwitten allemaal van belang voor de Chinese autoriteiten, vooral politieke dissidenten.
Echter, er is geen concrete manier om de aanvallen terug te linken naar China. Dit komt omdat het moeilijk is om aanvallen op telecommunicatiebedrijven te herleiden naar specifieke individuen of overheden. Het is veel gemakkelijker als de aanvallen op individuele basis plaatsvinden, zoals wanneer spyware op het apparaat van een slachtoffer wordt geïnstalleerd. Het aanvallen van telecomproviders heeft nog een ander voordeel: het verbergt de identiteit van de uiteindelijke doelwitten. Telecomgebruikers komen uit een grote groep individuen uit verschillende landen. Aangezien er geen specifieke eindgebruiker wordt getarget, zullen wetshandhavingsinstanties het moeilijk vinden om de aanvallen te detecteren of te voorkomen.
Volgens Dahan waren de voornaamste doelwitten van de Microsoft Exchange-aanvallen weliswaar Zuidoost-Aziatische landen, maar bestaat de mogelijkheid dat ook mensen in andere regio’s doelwit konden zijn geweest.
Een topbeveiligingsexpert vermeldde dat de aard van de aanvallen uit China verbijsterend was. De beveiligingsexpert onthulde dat de zet roekeloos en uit karakter voor China was.
De Chinese autoriteiten ontkenden, zoals verwacht, verantwoordelijkheid voor de aanval.