Kinesiska Hackare Påstås Utnyttja en Säkerhetsbrist i Microsoft Exchange För att Stjäla Samtalsloggar - TechRobot

Kinesiska Hackare Påstås Utnyttja en Säkerhetsbrist i Microsoft Exchange För att Stjäla Samtalsloggar

I början av mars avslöjade Microsoft att brister i dess Microsoft Exchange-programvara utnyttjades av en kinesisk hackargrupp känd som Hafnium. Gruppen hade, avslöjade det, utfört riktade attacker mot flera organisationer. Detta inkluderar advokatbyråer, försvarsentreprenörer, icke-statliga organisationer och till och med forskare inom smittsamma sjukdomar. De sårbara systemen som riktades in sig på inkluderar e-postplattformar som används av dessa organisationer.

När attackerna sker lämnar hackarna efter sig ett verktyg som är känt som en web shell. En web shell är ett högt skyddat hackarverktyg som är lättillgängligt över internet. Detta gör oplåsta Exchange-servrar mest sårbara. Detta beror på att web shell ger hackaren obegränsad fjärråtkomst till offrets dator. Rapporter har framkommit att hundratusentals Microsoft Exchange-servrar har blivit komprometterade på detta sätt. Varje komprometterad server representerar en organisation som använder Exchange som en del av sin administrativa uppsättning.

Hafnium har också anklagats för en rad attacker mot ett sydostasiatiskt telekommunikationsföretag. I detta fall riktade sig hackarna mot och stal samtalsloggar från det namnlösa företaget från slutet av 2020, även innan hackningen av Microsoft Exchange upptäcktes.

Hackergruppen har varit aktiv sedan 2017 och har lyckats undgå upptäckt hela tiden. En rapport från 2019 avslöjade att gruppen bröt sig in i säkerhetssystemet hos 10 telekommunikationsföretag i Afrika, Mellanöstern, Europa och Asien. För närvarande har gruppen gått samman med två andra hackerteam med kopplingar till Kina för att utföra samma typer av attacker. 

## Upptäckt

Cybersecurity-företaget Volexity tillskrivs att först ha upptäckt intrånget. Företaget märkte en massiv överföring av data från Microsoft Exchanges servrar i början av januari 2021. Tyvärr var detta under perioden då världen var distraherad av upploppet vid USA:s Capitolium. Steven Adair, Volexitys president, uppgav att hackarna sannolikt skulle påskynda sina åtgärder under de kommande månaderna. Organisationer som inte kan göra de nödvändiga ändringarna i sina system och ladda upp de säkerhetsuppdateringar som Microsoft gjorde tillgängliga kommer att vara mest sårbara.

”Så dåligt som det är nu, tror jag att det kommer att bli mycket värre,” sa Adair. ”Detta ger dem en begränsad möjlighet att gå och utnyttja något. Patchen kommer inte att åtgärda det om de lämnade sin bakdörr kvar.”

## Microsofts svar

I en snabb reaktion släppte Microsoft den 2 mars säkerhetsuppdateringar för att ta itu med de sårbarheter som hackarna utnyttjade i Exchange-serverversioner från 2013 till 2019.

Företaget meddelade vidare att det arbetade tillsammans med USA:s Cybersecurity & Infrastructure Security Agency (CISA) för att erbjuda vägledning till kunderna om vägen framåt. ”Det bästa skyddet är att tillämpa uppdateringar så snart som möjligt på alla påverkade system,” sa en talesperson för företaget.

Microsoft tillade dock att attackerna inte påverkade kunder som använder Exchange Online Service. Trots detta är det säkert att de flesta av de organisationer som har blivit komprometterade använde någon form av Microsoft Outlook Web Access (OWA), utöver interna Exchange-servrar.

## Länk till Kina

I juli anklagade Vita huset formellt Kina för att utnyttja säkerhetsbristen i Microsoft Exchange för att genomföra attacken. Förenta staterna gav ut ett uttalande där de uppmanade de kinesiska myndigheterna att ”följa internationella relationsnormer och inte tillåta att dess territorium används för skadliga cyberaktiviteter, samt att vidta alla lämpliga åtgärder och rimligt tillgängliga och genomförbara steg för att upptäcka, utreda och hantera situationen.”

Assaf Dahan, chef för målforskning på Cybereason, ett cyberteknikföretag, fastställde hackarnas kopplingar till Kina. Enligt Dahan tyder attackernas natur och överlappningen av taktiker och mål på att hackarna har samma ursprung – den kinesiska regeringen. Dessutom har målen alla varit av intresse för de kinesiska myndigheterna, framför allt politiska dissidenter.

Det finns dock inget konkret sätt att koppla attackerna tillbaka till Kina. Detta beror på att det är svårt att spåra attacker mot telekommunikationsföretag till specifika individer eller regeringar. Det är mycket enklare om attackerna är riktade mot enskilda personer, till exempel där spionprogram är inbäddat på offrets enhet. Att gå efter telekomleverantörer har också en annan fördel: det suddar ut identiteten på slutmålen. Telekomanvändare kommer från en stor pool av individer från flera länder. Eftersom inga specifika slutanvändare är måltavlor, kommer brottsbekämpande myndigheter att ha svårt att upptäcka attackerna eller förhindra dem.

Enligt Dahan, även om de primära målen för attackerna mot Microsoft Exchange var sydostasiatiska länder, finns det en möjlighet att personer i andra regioner också kan ha blivit måltavlor. 

En toppsäkerhetsexpert nämnde att det var förbryllande med naturen av attackerna från Kina. Säkerhetsexperten avslöjade att draget var vårdslöst och inte typiskt för Kina.

De kinesiska myndigheterna förnekade, som väntat, ansvar för attacken.