Джон П. Мелло младший
10 марта 2021 г., 4:00 утра по тихоокеанскому времени
В понедельник Microsoft сообщила, что на прошлой неделе несколько злоумышленников использовали уязвимости в программном обеспечении Exchange компании для атаки на системы. в организациях, которые не смогли исправить недостатки.
Чтобы помочь организациям, не внедрившим инструменты безопасности Microsoft, компания выпустила хэши вредоносных программ и известные пути к вредоносным файлам, которые можно использовать для устранения уязвимостей вручную.
4 марта Microsoft сообщила, что обнаружила несколько эксплойтов нулевого дня, используемых для атак на локальные версии своего программного обеспечения Exchange Server. Он добавил, что в атаках, наблюдаемых компанией, злоумышленник использовал уязвимости для доступа к учетным записям электронной почты и разрешил установку дополнительных вредоносных программ для облегчения долгосрочного доступа к среде жертв.
В то же время Microsoft выпустила программное обеспечение для исправления уязвимостей.
Компания приписывала атаки «с высокой степенью уверенности», основываясь на наблюдаемой виктимологии, тактике и процедурах, группе Hafnium, которая, как считается, спонсируется государством и действует за пределами Китая.
«Мы тесно сотрудничаем с [Cybersecurity and Infrastructure Security Agency]другими правительственными учреждениями и компаниями по обеспечению безопасности, чтобы обеспечить нашим клиентам наилучшие рекомендации и меры по снижению рисков», — говорится в заявлении Microsoft для TechNewsWorld.
«Лучшая защита — это как можно скорее применить обновления для всех затронутых систем», — продолжает он. «Мы продолжаем помогать клиентам, предоставляя дополнительные рекомендации по расследованию и устранению последствий. Затронутые клиенты должны обращаться в нашу службу поддержки за дополнительной помощью и ресурсами».
Содержание статьи
Хакеры мчатся
Первоначально предполагалось, что от атак пострадали 20 000 организаций, но, по данным Bloomberg, это число выросло до 60 000 и продолжает расти. Это могло быть связано с тем, что другие хакеры врываются в дверь, открытую Hafnium.
Через несколько дней после обнародования информации об атаках компания Cynet из Нью-Йорка, разработавшая автономную платформу защиты от взлома, обнаружила ряд атак, связанных с уязвимостями Exchange, с использованием вредоносного программного обеспечения под названием China Chopper.
Эта вредоносная программа представляет собой бэкдор веб-оболочки, который позволяет группам угроз удаленно обращаться к корпоративной сети, злоупотребляя клиентским приложением, чтобы получить удаленный контроль над скомпрометированной системой.
Cynet идентифицировал четыре группы, используя China Chopper: Leviathan, Threat Group-3390, Soft Cell и APT41.
«Тот факт, что China Chopper — это инструмент, используемый некоторыми группами APT, и тот факт, что China Chopper специально использовался для атаки на уязвимые службы Microsoft, заставляет нас полагать, что дополнительные группы APT нацелены на эти уязвимости», — сказал старший исследователь угроз Cynet Об этом Максим Малютин написал в блоге компании.
Несмотря на то, что широкое использование уязвимостей Exchange начало распространяться и теперь находится в руках криминальных структур, некоторым организациям придется потерять больше, чем другим, добавил Джон Халтквист, вице-президент по анализу в Mandiant Threat Intelligence.
«Операторы кибершпионажа, которые имели доступ к этому эксплойту в течение некоторого времени, вряд ли будут заинтересованы в подавляющем большинстве малых и средних организаций», — сказал он в заявлении.
«Хотя кажется, что они массово эксплуатируют организации, — продолжил он, — эти усилия могут позволить им выбирать цели, представляющие наибольшую ценность для разведки».
Хранилище данных в электронных письмах
Хотя точные цели злоумышленников в настоящее время неизвестны, эксперты соглашаются, что злоумышленники получают доступ к огромному количеству данных.
«Даже не имея возможности авторитетно назвать всех задействованных субъектов угроз, подумайте о том, что вы найдете в учетных записях электронной почты», — заметил Бен Смит, технический директор RSA Security, глобального поставщика решений безопасности.
«Интеллектуальная собственность и информация о лицах, связанных с целевой организацией, — это две широкие категории очень конфиденциальных данных, обнаруживаемых в электронной почте», — сказал он TechNewsWorld.
Прямых доказательств наличия единственного мотива может и не быть, но кража данных будет общей целью, отметил Пурандар Дас, генеральный директор и соучредитель Sotero, компании по защите данных в Берлингтоне, штат Массачусетс.
«В этом случае потенциальные результаты могут проявиться через некоторое время», — сказал он TechNewsWorld. «На карту может быть поставлено конфиденциальное содержимое электронной почты, ведущее к стратегии, финансовым транзакциям и учетным данным».
Мэтт Петроски, вице-президент по работе с клиентами GreatHorn, облачной компании по обеспечению безопасности электронной почты из Уолтема, штат Массачусетс, добавил, что это Можно с уверенностью сказать, что будет увеличиваться количество атак на основе олицетворения, когда злоумышленники будут иметь доступ к внутренним коммуникациям, а также к информации о дебиторской и кредиторской задолженности.
«Злоумышленники могут использовать эти данные для вставки себя с помощью имитации электронной почты с целью неверного направления платежей или использования внутренней информации», — сказал он TechNewsWorld.
Атака на государство
Выявление источника кибератаки может быть рискованным делом — даже если Microsoft уверена, что идентифицировала виновных в атаках Exchange, хотя характеристики набеги явно указывают на национальное государство.
«Масштаб, масштабы и направленность этой атаки на цепочку поставок третьей стороны определенно указывают на уровень изощренности, типичный для атаки на национальное государство», — сказал Смит.
«Как ни странно, масштаб, объем и скорость, с которой атака усилилась, указывают на то, что атаку организовала хорошо организованная группа», — добавил Дас.
«Эти навыки оркестровки и организаторские способности — это то, что может использовать национальное государство», — заметил он.
Карен Уолш, руководитель Allegro Solutions, компании по маркетингу кибербезопасности в Уэст-Хартфорде, штат Коннектикут, соглашается с Microsoft, что за атаками стоит не какое-либо национальное государство. По ее словам, признаки компрометации и сигнатуры атаки, похоже, указывают на Китай.
«У злоумышленников есть свои излюбленные способы что-то делать», — сказала она. «Так же, как у художников есть определенный стиль, у хакеров есть определенный стиль».
SolarWinds Reprise
Как и в случае с массивной атакой SolarWinds в прошлом году, атака Exchange нацелена на стороннего поставщика для многих организаций.
«Обе атаки были нацелены на цепочки поставок затронутых организаций», — пояснил Смит.
«Слишком легко забыть, — продолжил он, — что, даже если вы не занимаетесь производством виджетов, если ваш бизнес зависит от третьих лиц, у вас также есть цепочка поставок, которая может быть "
Атаки похожи, потому что обе они были нацелены на стороннюю платформу для заражения большой клиентской базы, но они тоже разные, — добавил Дас.
«Они отличаются тем, что при взломе программного обеспечения SolarWinds они проникли в кодовую базу и установили черный ход, который затем использовался для получения доступа к сети клиента», — пояснил он.
«В случае взлома Microsoft, — продолжил он, — преступники обнаружили уязвимость в производственной версии и использовали ее для получения доступа к электронной почте».
Петроски утверждал, что атаки похожи только на в устрашающем числе потенциальных жертв, даже несмотря на то, что инцидент с Exchange, кажется, превосходит SolarWinds в пять раз.
«Жертвы SolarWinds были уязвимы в основном потому, что доверяли программному обеспечению SolarWinds для обновления себя через защищенный канал», — сказал он.
«Атака Microsoft — это скорее классическая атака нулевого дня», — продолжил он. «Первоначальные жертвы могли быть выбраны выборочно, но огромное количество потенциальных жертв сегодня связано с тем, что эти серверы Exchange доступны для поиска в Интернете, такого как инструмент Shodan и другие скрипты».