Hackeri Microsoft Exchange tiež porušili Európsky bankový úrad

Európsky orgán pre bankovníctvo (EBA) v nedeľu uviedol, že sa stal obeťou kybernetického útoku zameraného na jeho servery Microsoft Exchange, čo ho prinútilo dočasne vypnúť svoje e-mailové systémy ako preventívne opatrenie.

„Keďže zraniteľnosť súvisí s e-mailovými servermi EBA, prístup k osobným údajom prostredníctvom e-mailov uchovávaných na týchto serveroch mohol útočník získať,“ uviedla regulačná agentúra so sídlom v Paríži.

EBA uviedla, že začala úplné vyšetrovanie incidentu v spolupráci s poskytovateľom informačných a komunikačných technológií (ICT), tímom forenzných expertov a ďalšími relevantnými subjektmi.

V druhej aktualizácii vydanej v pondelok agentúra uviedla, že zabezpečila svoju e-mailovú infraštruktúru a nenašla žiadne dôkazy o extrakcii údajov a dodala, že „neexistuje žiadny náznak, že by si myslela, že porušenie presiahlo naše e-mailové servery“.

Okrem nasadenia dodatočných bezpečnostných opatrení EBA tiež poznamenala, že po obnovení plnej funkčnosti e-mailových serverov pozorne sleduje situáciu.

Tento vývoj je dôsledkom pokračujúcej rozsiahlej zneužívacej kampane zo strany viacerých aktérov hrozieb zameraných na zraniteľné e-mailové servery Microsoft Exchange týždeň po tom, ako spoločnosť Microsoft vydala núdzové opravy na riešenie štyroch bezpečnostných chýb, ktoré by sa dali zreťaziť, aby sa obišli autentifikácie a na diaľku spúšťali škodlivé programy.

Microsoft sa vraj o týchto zraniteľnostiach dozvedel už v januári 52021, čo naznačuje, že spoločnosť mala takmer dva mesiace, kým nakoniec vydala opravu, ktorá bola odoslaná v marci 2.

Hromadný hack servera Exchange si doteraz vyžiadal najmenej 60 000 známych obetí na celom svete, vrátane značného počtu malých podnikov a miestnych samospráv, pričom útočníci rozohnali širokú sieť predtým, ako odfiltrovali vysokoprofilové ciele pre ďalšie aktivity po vykorisťovaní.

Rýchlo sa zrýchľujúce prieniky, ktoré tiež prichádzajú tri mesiace po hackerskej kampani SolarWinds, sa pripisujú predovšetkým skupine s názvom Hafnium, o ktorej Microsoft hovorí, že ide o štátom sponzorovanú skupinu pôsobiacu mimo Číny.

Odvtedy informácie zhromaždené z viacerých zdrojov poukazujú na nárast anomálnej aktivity webového shellu zameraného na servery Exchange ku koncu februára najmenej o päť rôznych klastrov hrozieb, čo je skutočnosť, ktorá mohla zohrať dôležitú úlohu pri vydaní opráv spoločnosťou Microsoft týždeň vopred. plánu Patch Tuesday.

Podľa časovej osi zverejnenia zraniteľnosti zdieľanej taiwanskou firmou Devcore zaoberajúcou sa kybernetickou bezpečnosťou sa tvrdí, že Centrum bezpečnostných reakcií spoločnosti Microsoft (MSRC) pôvodne plánovalo opravu na marec. 9, ktorý sa kryje s Patch Tuesday pre tento mesiac.

Ak komoditizácia zraniteľných miest ProxyLogon nie je prekvapením, je isté, že rýchle a nerozvážne zneužívanie množstvom kyberzločineckých gangov a hackerov z národných štátov, z čoho vyplýva, že nedostatky bolo relatívne ľahšie odhaliť a zneužiť.

Dmitri Alperovitch, predseda organizácie Silverado Policy Accelerator a spoluzakladateľ CrowdStrike, uviedol, že hackovanie čínskeho servera Exchange je hlavným porušením noriem, povedal: „Zatiaľ čo to začalo ako cielená špionážna kampaň, zapojili sa do bezohľadného a nebezpečného správania pri skenovaní/ kompromitujúce servery Exchange v celom adresnom priestore IPv4 s webovými shellmi, ktoré teraz môžu používať iní aktéri vrátane tímov ransomvéru.”