Różności i nowinki technologia

Istnieje irytująca tajemnica otaczająca ataki 0-day na serwery Exchange

Frazę Zero Day można zauważyć na monochromatycznym ekranie komputera zapchanym jedynkami i zerami.

Luki w Microsoft Exchange, które pozwalają hakerom przejąć serwery Microsoft Exchange, są atakowane przez nie mniej niż 10 zaawansowanych grup hakerskich, z których sześć zaczęło je wykorzystywać, zanim Microsoft opublikował łatkę, poinformowali naukowcy w środę. Rodzi to irytującą tajemnicę: w jaki sposób tak wielu różnych aktorów zagrożeń miało działające exploity, zanim luki w zabezpieczeniach stały się publicznie znane?

Naukowcy twierdzą, że aż 100 000 serwerów pocztowych na całym świecie zostało zhakowanych, a w ciągu ostatnich kilku dni ujawniono te przeznaczone dla Europejskiego Urzędu Nadzoru Bankowego i norweskiego parlamentu. Gdy atakujący uzyskają możliwość wykonywania kodu na serwerach, instalują powłoki internetowe, które są oknami opartymi na przeglądarce, które zapewniają środki do zdalnego wydawania poleceń i wykonywania kodu.

Kiedy 2 marca Microsoft wydał poprawki awaryjne, firma poinformowała, że ​​luki w zabezpieczeniach były wykorzystywane w ograniczonych i ukierunkowanych atakach przez wspieraną przez państwo grupę hakerską w Chinach znaną jako Hafnium. W środę ESET przedstawił zupełnie inną ocenę. Spośród 10 grup, które produkty ESET zarejestrowały wykorzystując podatne na ataki serwery, sześć z tych APT – skrótów od zaawansowanych, trwałych zagrożeń – zaczęło przejmować kontrolę nad serwerami, podczas gdy krytyczne luki w zabezpieczeniach były nadal nieznane firmie Microsoft.

Nieczęsto tak zwana luka dnia zerowego jest wykorzystywana przez dwie grupy jednocześnie, ale zdarza się. Z drugiej strony, zero-day atakowany przez sześć APT jednocześnie jest bardzo niezwykły, jeśli nie bezprecedensowy.

„Nasze trwające badania pokazują, że nie tylko Hafnium wykorzystywał ostatnią lukę w zabezpieczeniach RCE w Exchange, ale także że wiele APT ma dostęp do tego exploita, a niektóre zrobiły to nawet przed wydaniem łatki” – naukowcy z ESET Matthieu Faou, Mathieu Tartare i Thomas Dupuy napisał w środowym poście. „Nadal nie jest jasne, w jaki sposób doszło do dystrybucji exploita, ale nieuniknione jest, że coraz więcej podmiotów zagrażających, w tym operatorzy ransomware, będzie miało do niego dostęp wcześniej czy później”.

ESET

Poza nieprawdopodobne

Tajemnica jest potęgowana przez to: w ciągu jednego dnia od wydania przez Microsoft łatek do walki dołączyły co najmniej trzy kolejne APT-y. Dzień później do miksu dodano kolejny. Chociaż jest możliwe, że te cztery grupy dokonały inżynierii wstecznej poprawek, opracowały uzbrojone exploity i wdrożyły je na dużą skalę, tego typu działania zwykle wymagają czasu. Okno 24-godzinne jest na krótszym boku.

Nie ma jasnego wytłumaczenia dla masowej eksploatacji tak wielu różnych grup, pozostawiając naukowcom niewiele alternatyw poza spekulacjami.

„Wydawałoby się, że chociaż exploity były pierwotnie wykorzystywane przez Hafnium, coś sprawiło, że udostępniły je innym grupom w czasie, gdy powiązane luki w zabezpieczeniach były usuwane przez Microsoft” – powiedział Costin Raiu, dyrektor Globalnego zespołu ds. Badań i analiz w Kaspersky Lab , powiedział mi. „Może to sugerować pewien stopień współpracy między tymi grupami lub też sugerować, że exploity były dostępne w sprzedaży na niektórych rynkach, a możliwość ich załatania skutkowała spadkiem ceny, pozwalając innym również ją nabyć”.

Do podobnej oceny doszedł Juan Andres Guerrero-Saade, główny badacz zagrożeń w firmie ochroniarskiej SentinelOne.

„Pomysł, że sześć grup pochodzących z tego samego regionu niezależnie odkryłoby ten sam łańcuch luk w zabezpieczeniach i stworzyłby ten sam exploit, jest mało prawdopodobny” – napisał w bezpośredniej wiadomości. „Prostszym wyjaśnieniem jest to, że (a) wspólny sprzedawca exploitów, (b) nieznane źródło (takie jak forum) dostępne dla wszystkich z nich, lub (c) wspólny podmiot, który organizuje te różne grupy hakerskie i zapewnia im wykorzystać, aby ułatwić sobie działalność (powiedzmy, chińskie Ministerstwo Bezpieczeństwa Państwowego). ”

Nazewnictwo nazw

Sześć grup zidentyfikowanych przez firmę ESET wykorzystujących luki w zabezpieczeniach, gdy były jeszcze zero-dniowe, to:

  • Hafn: Grupa, o której Microsoft powiedział, że jest sponsorowana przez państwo i mająca siedzibę w Chinach, wykorzystywała luki na początku stycznia.
  • Tick ​​(znany również jako Bronze Butler i RedBaldKnight): 28 lutego, dwa dni przed wydaniem przez Microsoft łatek, grupa ta wykorzystała luki do włamania się na serwer sieci Web firmy świadczącej usługi informatyczne z Azji Wschodniej. Tick ​​działa od 2018 roku i jest skierowany do organizacji głównie w Japonii, ale także w Korei Południowej, Rosji i Singapurze.
  • LuckyMouse (APT27 i Emissary Panda): 1 marca ta grupa cyberszpiegowska, o której wiadomo, że włamała się do wielu sieci rządowych w Azji Środkowej i na Bliskim Wschodzie, włamała się do serwera poczty elektronicznej podmiotu rządowego na Bliskim Wschodzie.
  • Calypso (z powiązaniami z Xpath): 1 marca ta grupa włamała się na serwery poczty elektronicznej podmiotów rządowych na Bliskim Wschodzie i w Ameryce Południowej. W następnych dniach skierowano go do organizacji w Afryce, Azji i Europie. Calypso jest skierowany do organizacji rządowych w tych regionach.
  • Websiic: 1 marca ten APT, którego ESET nigdy wcześniej nie widział, skierował się na serwery poczty należące do siedmiu azjatyckich firm z sektorów IT, telekomunikacji i inżynierii oraz jednego organu rządowego w Europie Wschodniej.
  • Winnti (aka APT 41 i Barium): Zaledwie kilka godzin przed wydaniem przez Microsoft poprawek awaryjnych 2 marca, dane ESET pokazują, że grupa ta włamuje się do serwerów pocztowych firmy naftowej i firmy produkującej sprzęt budowlany, obie z siedzibą w Azji Wschodniej.

ESET powiedział, że widział cztery inne grupy wykorzystujące luki w dniach bezpośrednio po wydaniu przez Microsoft łatki 2 marca. Dwie nieznane grupy rozpoczęły działalność dzień później. Dwie inne grupy, znane jako Tonto i Mikroceen, rozpoczęły działalność odpowiednio 3 i 4 marca.

Chiny i nie tylko

Joe Slowik, starszy badacz ds. Bezpieczeństwa w firmie DomainTools, opublikował w środę własną analizę i zauważył, że trzy z APT-ów ESET widziało wykorzystanie luk w zabezpieczeniach przed łatkami – Tick, Calypso i Winnti – były wcześniej powiązane z hakowaniem sponsorowanym przez Chińska Republika Ludowa. Dwa inne APT-y ESET zauważył, że dzień po łatkach wykorzystywały luki – Tonto i Mikroceen – również miały powiązania z ChRL, powiedział naukowiec.

Słowik stworzył następującą oś czasu:

DomainTools

Oś czasu obejmuje trzy klastry exploitów, które według firmy zabezpieczającej FireEye wykorzystują luki w oprogramowaniu Exchange od stycznia. FireEye odniósł się do grup jako UNC2639, UNC2640 i UNC2643 i nie powiązał klastrów z żadnymi znanymi APT, ani nie powiedział, gdzie się znajdują.

Ponieważ różne firmy zajmujące się bezpieczeństwem używają różnych nazw dla tych samych aktorów zagrożeń, nie jest jasne, czy grupy zidentyfikowane przez FireEye pokrywają się z grupami widzianymi przez ESET. Gdyby były odrębne, liczba aktorów zagrożeń wykorzystujących luki w zabezpieczeniach programu Exchange przed wprowadzeniem poprawki byłaby jeszcze większa.

Szereg organizacji w stanie oblężenia

Śledzenie APT nastąpiło, gdy FBI i Agencja Cyberbezpieczeństwa i Infrastruktury wydały w środę poradę, w której wspomniane grupy zagrożeń wykorzystują organizacje, w tym samorządy, instytucje akademickie, organizacje pozarządowe i podmioty gospodarcze z różnych branż, w tym rolnictwo, biotechnologia, lotnictwo i kosmonautyka, obrona, usługi prawne, przedsiębiorstwa energetyczne i farmaceutyczne.

„To ukierunkowanie jest zgodne z wcześniejszymi celami dokonywanymi przez chińskich aktorów cybernetycznych” – stwierdza doradca. Ponieważ firma bezpieczeństwa Palo Alto Networks doniosła we wtorek, że około 125 000 serwerów Exchange na całym świecie jest podatnych na ataki, wezwanie urzędników CISA i FBI do organizacji poprawki stało się jeszcze pilniejsze.

Zarówno ESET, jak i firma zajmująca się bezpieczeństwem Red Canary widziały, jak wykorzystywały serwery Exchange, które zostały zainfekowane DLTMiner, fragmentem złośliwego oprogramowania, które umożliwia atakującym wydobywanie kryptowaluty przy użyciu mocy obliczeniowej i elektryczności zainfekowanych maszyn. ESET powiedział jednak, że nie jest jasne, czy osoby stojące za tymi infekcjami faktycznie wykorzystały luki w zabezpieczeniach, czy po prostu przejęły serwery, które zostały już zhakowane przez kogoś innego.

Przy tak wielu exploitach sprzed aktualizacji pochodzących od grup powiązanych z chińskim rządem hipoteza z Guerrero-Saade z SentinalOne – że podmiot z ChRL dostarczył exploity wielu grupom hakerskim przed aktualizacjami – wydaje się najprostszym wyjaśnieniem. Teorię tę dodatkowo wspierają dwie inne grupy związane z ChRL – Tonto i Mikroceen – które jako jedne z pierwszych wykorzystały luki w zabezpieczeniach po awaryjnym wydaniu Microsoftu.

Oczywiście jest możliwe, że pół tuzina APT-ów, które wykorzystały luki w zabezpieczeniach, gdy były jeszcze zero-dniowe, niezależnie odkryły luki i opracowały uzbrojone exploity. Jeśli tak jest, to prawdopodobnie pierwszy i miejmy nadzieję ostatni.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook