Różności i nowinki technologia

Dziesiątki tysięcy amerykańskich organizacji zaatakowało trwającego włamania do Microsoft Exchange

Stylizowana czaszka i skrzyżowane piszczele złożone z jedynek i zer.

Powszechnie informowano, że dziesiątki tysięcy organizacji z siedzibą w Stanach Zjednoczonych korzysta z serwerów Microsoft Exchange, które zostały poddane operacji wstecznej przez cyberprzestępców, którzy kradną hasła administratora i wykorzystują krytyczne luki w aplikacji poczty e-mail i kalendarza. Microsoft wydał poprawki awaryjne we wtorek, ale nie robią one nic, aby wyleczyć systemy, które są już zagrożone.

KrebsOnSecurity jako pierwsza zgłosiła masowe włamanie. Cytując wiele nienazwanych osób, reporter Brian Krebs określił liczbę zainfekowanych organizacji w USA na co najmniej 30 000. Krebs powiedział, że na całym świecie było co najmniej 100 000 zhakowanych organizacji. Inne serwisy informacyjne, również powołujące się na nienazwane źródła, szybko opublikowały posty donoszące o włamaniu, które uderzyły w dziesiątki tysięcy organizacji w USA.

Zakładaj kompromis

„To jest prawdziwa okazja”, Chris Krebs, były szef Agencji ds. Cyberbezpieczeństwa i Infrastruktury, powiedziany na Twitterze, odnosząc się do ataków na lokalny serwer Exchange, znany również jako Outlook Web Access. „Jeśli Twoja organizacja obsługuje serwer OWA wystawiony na działanie Internetu, załóż kompromis między 02 / 26-03 / 03”. Jego komentarzom towarzyszył w czwartek tweet Jake’a Sullivana, doradcy prezydenta Bidena ds. Bezpieczeństwa narodowego Białego Domu.

Hafn ma towarzystwo

Microsoft poinformował we wtorek, że lokalne serwery Exchange zostały zhakowane w ramach „ograniczonych ataków ukierunkowanych” przeprowadzonych przez chińską grupę hakerską, którą producent oprogramowania nazywa Hafnium. Po piątkowym poście Briana Krebsa, Microsoft zaktualizował swój post, aby powiedzieć, że widzi „zwiększone wykorzystanie tych luk w atakach na niezałatane systemy przez wielu złośliwych aktorów spoza HAFNIUM”.

Katie Nickels, dyrektor wywiadu w firmie zajmującej się bezpieczeństwem Red Canary, powiedziała Ars, że jej zespół znalazł serwery Exchange, które zostały zaatakowane przez hakerów przy użyciu taktyk, technik i procedur, które są wyraźnie inne niż te stosowane przez grupę hafnu nazwaną Microsoft. Powiedziała, że ​​Red Canary policzył pięć „skupisk, które wyglądają inaczej od siebie, [though] stwierdzenie, czy ludzie stojący za nimi są inni, czy nie, jest teraz naprawdę trudnym wyzwaniem i niejasnym ”.

Na Twitterze, Red Canary powiedziany że niektóre z zagrożonych serwerów Exchange, które firma wykryła, zawierały złośliwe oprogramowanie, które inna firma ochroniarska Carbon Black przeanalizowała w 2019 r. Złośliwe oprogramowanie było częścią ataku, który zainstalował oprogramowanie DLTminer do wydobywania kryptowalut. Jest mało prawdopodobne, aby Hafnium zainstalował taki ładunek.

Microsoft powiedział, że Hafnium to wykwalifikowana grupa hakerska z Chin, która koncentruje się przede wszystkim na kradzieży danych od amerykańskich badaczy chorób zakaźnych, firm prawniczych, instytucji szkolnictwa wyższego, wykonawców sektora obronnego, ośrodków analitycznych i organizacji pozarządowych. Microsoft powiedział, że grupa włamuje się do serwerów, wykorzystując ostatnio naprawione luki w zabezpieczeniach zeroday lub wykorzystując skompromitowane poświadczenia administratora.

Nie jest jasne, jaki procent zainfekowanych serwerów jest dziełem Hafnu. We wtorek Microsoft ostrzegł, że łatwość wykorzystania luk spowodowała, że ​​prawdopodobnie inne grupy hakerskie wkrótce dołączą do Hafnium. Jeśli grup oprogramowania ransomware nie ma jeszcze wśród klastrów atakujących serwery, prawie nieuniknione jest, że wkrótce tak się stanie.

Serwery typu „backdooring”

Brian Krebs i inni zgłosili, że dziesiątki tysięcy serwerów Exchange zostało przejętych za pomocą powłoki internetowej, którą hakerzy instalują po uzyskaniu dostępu do serwera. Oprogramowanie umożliwia atakującym wprowadzanie poleceń administracyjnych za pośrednictwem okna terminala, do którego można uzyskać dostęp przez przeglądarkę internetową.

Badacze zwrócili uwagę na to, że samo zainstalowanie łat, które Microsoft wydał we wtorkowe wydanie awaryjne, nie pomoże wyleczyć serwerów, które zostały już poddane backdoorowaniu. Powłoki internetowe i wszelkie inne złośliwe oprogramowanie, które zostały zainstalowane, będą istnieć, dopóki nie zostaną aktywnie usunięte, najlepiej poprzez całkowitą przebudowę serwera.

Osoby, które administrują serwerami Exchange w swoich sieciach, powinny porzucić wszystko, co robią w tej chwili i dokładnie sprawdzić swoje maszyny pod kątem oznak naruszenia bezpieczeństwa. Firma Microsoft wymieniła tutaj wskaźniki naruszenia bezpieczeństwa. Administratorzy mogą również użyć tego skryptu firmy Microsoft, aby sprawdzić, czy problem dotyczy ich środowisk.

Eskalacja włamań do serwerów Exchange w tym tygodniu nastąpiła trzy miesiące po tym, jak specjaliści ds. Bezpieczeństwa odkryli włamanie do co najmniej dziewięciu agencji federalnych i około 100 firm. Głównym wektorem infekcji były aktualizacje oprogramowania od producenta narzędzi sieciowych SolarWinds. Masowe włamanie było jednym z – jeśli nie the—Najgorsze włamania komputerowe w historii Stanów Zjednoczonych. Możliwe, że Exchange Server wkrótce ogłosi to wyróżnienie.

Nadal jest wiele rzeczy, które pozostają nieznane. Na razie ludzie powinni postępować zgodnie z radą Chrisa Krebsa, zakładając, że lokalne serwery są zagrożone i odpowiednio postępować.



Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook