Chińscy hakerzy rzekomo wykorzystują lukę w Microsoft Exchange do kradzieży rejestrów połączeń
Na początku marca Microsoft ujawnił, że luki w jego oprogramowaniu Microsoft Exchange były wykorzystywane przez chińską grupę hakerską znaną jako Hafnium. Grupa ta, jak się okazało, przeprowadzała ataki ukierunkowane na kilka organizacji. Obejmuje to kancelarie prawne, kontrahentów obronnych, organizacje pozarządowe, a nawet badaczy chorób zakaźnych. Do celów ataków należały platformy emailowe używane przez te organizacje.
Gdy dochodzi do ataków, hakerzy pozostawiają narzędzie znane jako web shell. Web shell to najlepiej chronione narzędzie hakerskie, które jest łatwo dostępne w internecie. To sprawia, że serwery Exchange bez załatanych luk są najbardziej narażone. Dzieje się tak, ponieważ web shell daje hakerowi nieograniczony zdalny dostęp do komputera ofiary. Pojawiły się raporty, że setki tysięcy serwerów Microsoft Exchange zostały w ten sposób skompromitowane. Każdy skompromitowany serwer reprezentuje organizację, która używa Exchange jako części swojej konfiguracji administracyjnej.
Hafnium został również obwiniony za serię ataków na południowo-wschodnioazjatycką firmę telekomunikacyjną. W tym przypadku, hakerzy zaatakowali i ukradli rejestr połączeń z nieujawnionej firmy, zaczynając od końca 2020 roku, jeszcze przed odkryciem ataku na Microsoft Exchange.
Grupa hakerska działa od 2017 roku i przez cały czas udało jej się unikać wykrycia. Raport z 2019 roku ujawnił, że grupa naruszyła bezpieczeństwo 10 firm telekomunikacyjnych w Afryce, na Bliskim Wschodzie, w Europie i Azji. W tej chwili grupa dołączyła do dwóch innych zespołów hakerskich związanych z Chinami, aby przeprowadzać tego samego rodzaju ataki.
## Odkrycie
Firma zajmująca się cyberbezpieczeństwem Volexity jest uznawana za pierwszą, która wykryła naruszenie. Firma zauważyła masowy transfer danych z serwerów Microsoft Exchange na początku stycznia 2021 roku. Niestety, miało to miejsce w okresie, gdy świat był rozproszony z powodu zamieszek w Kapitolu Stanów Zjednoczonych. Steven Adair, prezes Volexity, stwierdził, że hakerzy najprawdopodobniej przyspieszą swoje działania w nadchodzących miesiącach. Organizacje, które nie są w stanie dokonać wymaganych zmian w swoich systemach i zainstalować aktualizacji bezpieczeństwa udostępnionych przez Microsoft, będą najbardziej narażone.
“Tak źle, jak jest teraz, myślę, że zaraz będzie jeszcze gorzej,” powiedział Adair. “To daje im ograniczoną możliwość, aby coś wykorzystać. Łatka tego nie naprawi, jeśli zostawili za sobą tylną furtkę.”
## Odpowiedź Microsoftu
W szybkiej reakcji, 2 marca, Microsoft wydał aktualizacje bezpieczeństwa, aby poradzić sobie z lukami, z których korzystali hakerzy w wersjach serwera Exchange od 2013 do 2019.
Firma dodała również, że współpracuje z amerykańską Agencją Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), aby oferować klientom wskazówki dotyczące dalszych działań. “Najlepszą ochroną jest jak najszybsze stosowanie aktualizacji we wszystkich dotkniętych systemach,” powiedział rzecznik firmy.
Microsoft dodał jednak, że ataki nie wpłynęły na klientów korzystających z usługi Exchange Online. Niemniej jednak, pewne jest, że większość organizacji, które zostały skompromitowane, używała w pewnej formie Microsoft Outlook Web Access (OWA), oprócz wewnętrznych serwerów Exchange.
## Połączenie z Chinami
W lipcu Biały Dom formalnie obwinił Chiny za wykorzystanie luki w Microsoft Exchange do przeprowadzenia ataku. Stany Zjednoczone wydały oświadczenie, w którym wezwały chińskie władze do “przestrzegania norm stosunków międzynarodowych i niepozwalania na używanie swojego terytorium do złośliwych działań cybernetycznych, oraz do podjęcia wszelkich odpowiednich i rozsądnie dostępnych oraz wykonalnych kroków w celu wykrycia, zbadania i rozwiązania sytuacji.”
Assaf Dahan, szef działu badań nad celami w Cybereason, firmie zajmującej się cybernetyką, ustalił powiązania hakerów z Chinami. Według Dahana, charakter ataków i pokrywanie się taktyk oraz celów sugeruje, że hakerzy mają to samo pochodzenie – rząd chiński. Co więcej, cele te były wszystkie interesujące dla chińskich władz, najważniejsze to dysydenci polityczni.
Jednak nie ma konkretnego sposobu, aby powiązać ataki bezpośrednio z Chinami. Wynika to z faktu, że trudno jest śledzić ataki na operatorów telekomunikacyjnych do konkretnych osób lub rządów. Jest to znacznie łatwiejsze, gdy ataki są skierowane na pojedyncze osoby, na przykład gdy na urządzeniu ofiary umieszczane jest oprogramowanie szpiegujące. Atakowanie dostawców usług telekomunikacyjnych ma również inną zaletę: zaciera tożsamość ostatecznych celów. Użytkownicy telekomunikacji pochodzą z dużej grupy osób z kilku krajów. Ponieważ nie jest celowany żaden konkretny użytkownik końcowy, organy ścigania będą miały trudności z wykryciem ataków lub ich zapobieganiem.
Według Dahana, mimo że głównymi celami ataków na Microsoft Exchange były kraje Azji Południowo-Wschodniej, istnieje możliwość, że osoby z innych regionów również mogły być celem ataków.
Ekspert ds. bezpieczeństwa najwyższego szczebla wspomniał, że zdumiewająca była natura ataków z Chin. Ekspert ds. bezpieczeństwa ujawnił, że ruch ten był lekkomyślny i nietypowy dla Chin.
Chińskie władze, jak można było się spodziewać, zaprzeczyły odpowiedzialności za atak.