Masívny hack čínskej kyberšpionážnej jednotky
Špecialista na kybernetickú bezpečnosť Brian Krebs na svojom blogu odhalil, že v posledných dňoch bolo napadnutých najmenej 30 000 amerických organizácií vrátane malých podnikov, miest a miestnych samospráv, pravdepodobne skupinou hackerov, o ktorých sa predpokladá, že ich podporuje čínsky štát. Útoky by boli vykonané po celom svete, takže obeťami by sa nakoniec mohli stať státisíce organizácií.
V skutočnosti by to tento hackerský tím využil 4 nedávno objavila slabé miesta v poštovom serveri Microsoft Exchange s cieľom ukradnúť údaje jeho profesionálnych používateľov. Po nedávnom vydaní núdzových bezpečnostných aktualizácií od spoločnosti Microsoft hackeri údajne zintenzívnili svoje útoky na servery Exchange po celom svete, ktoré majú stále neopravené zraniteľnosti.
Predpokladá sa, že skupina je nazvaná „Hafnium“ a podľa Microsoftu už v minulosti vykonala „cielené útoky na e-mailové systémy používané celým radom priemyselných odvetví vrátane výskumníkov infekčných chorôb, právnických firiem, lekárskych inštitúcií a zdravotníckych zariadení. „vysoké školstvo, obranné spoločnosti, politické think-tanky a mimovládne organizácie. »
Aký vplyv má na hacknuté spoločnosti?
Pre každý napadnutý server Exchange zanechajú hackeri „web shell“ (zapuzdrený kód vo francúzskej verzii). Je to ľahko použiteľný hackerský nástroj chránený heslom, prístupný z akéhokoľvek prehliadača, ktorý poskytuje administratívny prístup k počítačovým serverom obetí spoločností.
Steven Adair, prezident Volexity, firmy špecializujúcej sa na bezpečnosť, varuje pred akciami, ktoré vykonáva táto skupina hackerov, a vysvetľuje na túto tému: „Aj keď ste aktualizovali v ten istý deň, keď Microsoft zverejnil svoje záplaty, vždy existuje dobrý šanca, že na vašom serveri je „web shell“. Pravdou je, že ak používate Exchange a ešte ste to neopravili, je pravdepodobné, že vaša organizácia je už ohrozená. »
Jen Psaki, tlačová tajomníčka Bieleho domu, uviedla, že útoky boli „významné“ a „mohli mať ďalekosiahle dôsledky“, pričom dodala, že vláda sa obáva počtu obetí, ktoré by mohli byť značné.
Aké možnosti ochrany pre organizácie?
Hovorca Microsoftu povedal, že “najlepšou ochranou je čo najskôr aplikovať aktualizácie na všetky dotknuté systémy.” Aktualizácia vám umožňuje blokovať 4 rôznymi spôsobmi, ktoré hackeri používajú na prienik na servery. Hovorca dodáva, že dotknutí zákazníci by mali kontaktovať svoje tímy podpory so žiadosťou o ďalšiu pomoc a zdroje.
Chris Krebs, bývalý šéf Agentúry pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry, v tweete v reakcii na poradcu Bieleho domu pre národnú bezpečnosť Jacka Sullivana vyzýva organizácie, aby skontrolovali, či nie sú napadnuté.
Dotknutý tweet: „Je to realita. Ak vaša organizácia prevádzkuje server OWA orientovaný na internet, predpokladajte kompromis medzi 2/26 a 3/3. Skontrolujte prítomnosť súborov aspx 8 znaky v C:\\inetpub\wwwroot\aspnet_client\system_web\. Ak dostanete kladnú odpoveď na toto vyhľadávanie, teraz ste v režime reakcie na incident. »
Toto je skutočný obchod. Ak vaša organizácia prevádzkuje server OWA vystavený internetu, predpokladajte kompromis medzi 26. 2. – 3. 3. 2003. Skontrolovať 8 znakové aspx súbory v C:\\inetpub\wwwroot\aspnet_client\system_web\. Ak sa vám toto vyhľadávanie podarí, ste v režime reakcie na incident. https://t.co/865Q8cc1Rm
— Chris Krebs (@C_C_Krebs) marec 52021
CISA (Cybersecurity & Infrastructure Security Agency) v Spojených štátoch tiež vydala núdzovú smernicu pre federálne oddelenia prevádzkujúce servery Microsoft Exchange. Cieľ: aktualizovať ich softvér a odpojiť príslušné produkty od ich sietí.
Microsoft dal jasne najavo, že útoky skupiny „Hafnium“ nijako nesúvisia s útokmi SolarWinds, ktoré pravdepodobne zorganizovala ruská spravodajská skupina.
