Kinesiske Hackarar Skal Visstnok Ha Utnytta ein Feil i Microsoft Exchange Til å Stjele Samtaleloggane

I byrjinga av mars avslørte Microsoft at feil i Microsoft Exchange-programvara deira vart utnytta av ei kinesisk hackinggruppe kjend som Hafnium. Gruppa, avslørte dei, hadde utført målretta angrep på fleire organisasjonar. Dette inkluderer advokatfirma, forsvarskontraktørar, ikkje-statlege organisasjonar, og til og med forskarar på smittsame sjukdommar. Dei sårbare systema som vart målretta inkluderer e-postplattformar brukt av desse organisasjonane. 

Når angrepa skjer, etterlet hackerane eit verktøy kjent som ein web shell. Ein web shell er eit toppbeskytta hackingverktøy som er lett tilgjengeleg over internett. Dette gjer uoppdaterte Exchange-serverar mest sårbare. Dette er fordi web shell gir hackaren fri fjernaksess til offeret sin datamaskin. Det har kome rapportar om at hundretusenvis av Microsoft Exchange-serverar har blitt kompromittert på denne måten. Kvar kompromittert server representerer ein organisasjon som brukar Exchange som ein del av sin administrative oppsett.

Hafnium har òg blitt skulda for ei rekkje åtak på eit telekommunikasjonsselskap i Søraust-Asia. I dette tilfellet retta hackarane seg mot og stal samtaleloggar frå det namnlause selskapet frå seint i 2020, sjølv før Microsoft Exchange-hacket vart oppdaga. 

Hackergruppa har vore i drift sidan 2017 og har klart å unngå oppdaging heile tida. Ein rapport i 2019 avslørte at gruppa braut sikkerheita til 10 telekomselskap i Afrika, Midtausten, Europa og Asia. For augneblinken har gruppa slått seg saman med to andre hackerteam med band til Kina for å utføre dei same typane angrep. 

Oppdaging

Cybersecurity-selskapet Volexity får æra for å først ha oppdaga brotet. Selskapet merka ein massiv overføring av data frå Microsoft Exchange sine serverar tidleg i januar 2021. Dessverre var dette i perioden verda var distrahert av opptøyane i Capitol i USA. Steven Adair, presidenten i Volexity, uttalte at hackerane mest sannsynleg ville akselerere handlingane sine i dei komande månadane. Organisasjonar som ikkje klarer å gjere dei nødvendige endringane i systema sine og laste opp sikkerhetsoppdateringane Microsoft gjorde tilgjengelege, vil vere mest sårbare. 

«Så ille som det er no, trur eg det er i ferd med å bli mykje verre,» sa Adair. «Dette gir dei ein avgrensa mengd høve til å gå og utnytte noko. Oppdateringa kjem ikkje til å fikse det om dei har latt bakdøra si stå open.» 

Microsoft sitt svar

I ein rask reaksjon, den 2. mars, gav Microsoft ut sikkerheitsoppdateringar for å takle sårbarheitene hackarane utnytta i Exchange server-versjonar frå 2013 til 2019.

Selskapet uttalte vidare at dei arbeidde saman med United States’s Cybersecurity & Infrastructure Security Agency (CISA) for å tilby rettleiing til kundane om vegen vidare.  “Den beste beskyttelsen er å bruke oppdateringar så snart som mogleg på alle påverka system,” sa ein talsperson for selskapet. 

Microsoft la likevel til at angrepa ikkje påverka kundar som brukte Exchange Online Service. Likevel er det sikkert at dei fleste av organisasjonane som vart kompromitterte brukte ein eller annan form for Microsoft Outlook Web Access (OWA), i tillegg til interne Exchange-serverar. 

Lenke til Kina

I juli skulda Det kvite huset formelt Kina for å utnytte svakheita i Microsoft Exchange til å gjennomføre angrepet. USA gav ut ei fråsegn der dei oppmoda kinesiske styresmakter til å «halde seg til normene for internasjonale relasjonar og ikkje la sitt territorium bli brukt til ondsinna cyberaktivitetar, og ta alle passande tiltak og steg som er rimeleg tilgjengelege og gjennomførbare for å oppdage, etterforske og handsame situasjonen.»

Assaf Dahan, leiar for målforsking hos Cybereason, eit cyberteknologiselskap, stadfesta hackerane sine band til Kina. Ifølgje Dahan tyder arten av angrepa og overlappinga av taktikkar og mål på at hackerane har same opphav – den kinesiske regjeringa. Endå meir, måla har alle vore av interesse for dei kinesiske styresmaktene, mest viktig, politiske dissidentar. 

Likevel er det ingen konkret måte å knytte angrepa tilbake til Kina på. Dette er fordi det er vanskeleg å spore angrep på telekommunikasjonsselskap til spesifikke individ eller regjeringar. Det er mykje enklare om angrepa er på individuelt grunnlag, som når spionprogramvare er innebygd på ein offer sin eining. Å gå etter telekomleverandørar har også ein annan fordel: det gjer identiteten til dei endelege måla uklar. Telekombrukarar kjem frå ein stor gruppe individ frå fleire land. Sidan ingen spesifikk endebrukar er målretta, vil rettshandhevingsbyrå finne det vanskeleg å oppdage angrepa eller forhindre dei. 

Ifølgje Dahan, sjølv om dei primære måla for angrepa på Microsoft Exchange var land i Søraust-Asia, er det mogleg at folk i andre regionar òg kunne ha vore mål.

Ein toppnivå sikkerheitsekspert nemnde at det var forvirrande naturen til angrepa frå Kina. Sikkerheitseksperten avslørte at trekket var uforsiktig og ut av karakter for Kina.

Dei kinesiske styresmaktene, venta, nekta ansvar for angrepet.