Hackeri chinezi ar fi profitat de o vulnerabilitate în Microsoft Exchange pentru a fura înregistrările apelurilor - TechRobot

Hackeri chinezi ar fi profitat de o vulnerabilitate în Microsoft Exchange pentru a fura înregistrările apelurilor

La începutul lunii martie, Microsoft a dezvăluit că defectele din software-ul său Microsoft Exchange erau exploatate de o echipă de hackeri chinezi cunoscută sub numele de Hafnium. Grupul, așa cum a fost dezvăluit, a efectuat atacuri țintite asupra mai multor organizații. Aceasta include firme de avocatură, contractori de apărare, ONG-uri și chiar cercetători în boli infecțioase. Sistemele vulnerabile vizate includ platformele de email utilizate de aceste organizații.

Când au loc atacurile, hackerii lasă în urmă un instrument cunoscut sub numele de web shell. Un web shell este un instrument de hacking extrem de protejat, care este ușor accesibil pe internet. Acest lucru face ca serverele Exchange nepatchuite să fie cele mai vulnerabile. Acest lucru se datorează faptului că web shell-ul oferă hackerului acces la distanță nelimitat la computerul victimei. Au apărut rapoarte conform cărora sute de mii de servere Microsoft Exchange au fost compromise în acest mod. Fiecare server compromis reprezintă o organizație care utilizează Exchange ca parte a configurației sale administrative.

Hafnium a fost de asemenea acuzat pentru o serie de atacuri asupra unei companii de telecomunicații din Asia de Sud-Est. În acest caz, hackerii au vizat și au furat jurnalele de apeluri de la compania fără nume începând de la sfârșitul anului 2020, chiar înainte ca atacul asupra Microsoft Exchange să fie descoperit.

Grupul de hackeri este în funcțiune din 2017 și a reușit să evite detectarea pe tot parcursul acestui timp. Un raport din 2019 a dezvăluit că grupul a compromis securitatea a 10 companii de telecomunicații din Africa, Orientul Mijlociu, Europa și Asia. În prezent, grupul s-a alăturat altor două echipe de hackeri cu legături către China pentru a efectua același tip de atacuri.

Descoperire

Compania de securitate cibernetică Volexity este creditată cu detectarea inițială a breșei. Compania a observat un transfer masiv de date de pe serverele Microsoft Exchange la începutul lunii ianuarie 2021. Din nefericire, aceasta a fost în perioada în care lumea era distrasă de revolta de la Capitoliul Statelor Unite. Steven Adair, președintele Volexity, a declarat că hackerii vor accelera cel mai probabil acțiunile lor în lunile următoare. Organizațiile care nu sunt capabile să facă schimbările necesare sistemelor lor și să încarce actualizările de securitate pe care Microsoft le-a pus la dispoziție vor fi cele mai vulnerabile.

„Oricât de rău ar fi acum, cred că urmează să devină mult mai rău,” a spus Adair. „Le oferă o cantitate limitată de oportunități să meargă și să exploateze ceva. Patch-ul nu o să rezolve asta dacă și-au lăsat o portiță deschisă în urmă.” 

Răspunsul Microsoft

Într-o reacție rapidă, pe 2 martie, Microsoft a lansat actualizări de securitate pentru a aborda vulnerabilitățile de care hackerii profitau în versiunile serverului Exchange din 2013 până în 2019.

Compania a mai declarat că lucrează împreună cu Agenția de Securitate Cibernetică și Infrastructură (CISA) a Statelor Unite pentru a oferi clienților îndrumări privind pașii de urmat. “Cea mai bună protecție este să aplicați actualizările cât mai curând posibil pe toate sistemele afectate,” a spus un purtător de cuvânt al companiei.

Microsoft a adăugat, totuși, că atacurile nu au afectat clienții care folosesc serviciul Exchange Online. Cu toate acestea, este cert că majoritatea organizațiilor compromise au folosit o formă de Microsoft Outlook Web Access (OWA), în plus față de serverele interne Exchange. 

Legătură cu China

În iulie, Casa Albă a acuzat oficial China că a exploatat vulnerabilitatea Microsoft Exchange pentru a perpetua atacul. Statele Unite au emis o declarație îndemnând autoritățile chineze să „respecte normele relațiilor internaționale și să nu permită teritoriului său să fie folosit pentru activități cibernetice rău intenționate, și să ia toate măsurile adecvate și rezonabil de disponibile și fezabile pentru a detecta, investiga și aborda situația.”

Assaf Dahan, șeful cercetării de ținte la Cybereason, o companie de cibertehnologie, a stabilit legăturile hackerilor cu China. Conform lui Dahan, natura atacurilor și suprapunerea tacticilor și țintelor sugerează că hackerii au aceeași origine – guvernul chinez. Mai mult, țintele au fost toate de interes pentru autoritățile chineze, cel mai important, disidenții politici.

Totuși, nu există o metodă concretă de a lega atacurile de China. Acest lucru se datorează faptului că este greu să urmărești atacurile asupra companiilor de telecomunicații către anumiți indivizi sau guverne. Este mult mai ușor dacă atacurile sunt pe bază individuală, cum ar fi cazurile în care spyware este încorporat în dispozitivul unei victime. Atacarea furnizorilor de telecomunicații are și un alt avantaj: estompează identitatea țintelor finale. Utilizatorii de telecomunicații provin dintr-un mare grup de indivizi din mai multe țări. Deoarece nu este vizat un utilizator final specific, agențiile de aplicare a legii vor avea dificultăți în a detecta atacurile sau în a le preveni. 

Conform spuselor lui Dahan, chiar dacă țintele principale ale atacurilor asupra Microsoft Exchange au fost țările din Asia de Sud-Est, există posibilitatea ca și persoane din alte regiuni să fi fost vizate. 

Un expert de top în securitate a menționat că a fost uluitor caracterul atacurilor din China. Expertul în securitate a dezvăluit că mișcarea a fost imprudentă și neobișnuită pentru China.

Autoritățile chineze, așa cum era de așteptat, au negat responsabilitatea pentru atac.