Četras jaunas hakeru grupas ir pievienojušās notiekošajam ofensīvam pret Microsoft e-pasta serveriem

Metjū Manuela fotoattēls vietnē Unsplash





Ar Ķīnas valdību saistītā hakeru kampaņa, ko Microsoft atklāja šonedēļ, ir strauji pieaugusi. Vismaz četras citas atšķirīgas hakeru grupas pašlaik uzbrūk Microsoft e-pasta programmatūras kritiskajiem trūkumiem kiberkampaņā, ko ASV valdība raksturo kā plaši izplatītu vietēju un starptautisku izmantošanu, kas var ietekmēt simtiem tūkstošu upuru visā pasaulē.

Sākot ar 2021. gada janvāri, Ķīnas hakeri, kas pazīstami kā Hafnium, sāka izmantot Microsoft Exchange serveru ievainojamības. Bet tā kā uzņēmums publiski atklāts Kampaņai otrdien ir pievienojušās vēl četras grupas, un sākotnējie ķīniešu hakeri ir atteikušies no slēpšanās un palielinājuši savu veikto uzbrukumu skaitu. Pieaugošais upuru saraksts ietver desmitiem tūkstošu ASV uzņēmumu un valdības iestāžu, uz kurām vērsušās jaunās grupas.

Ir vismaz piecas dažādas darbību kopas, kas, šķiet, izmanto ievainojamības, saka Keitija Nikelsa, kura vada izlūkošanas komandu kiberdrošības uzņēmumā Red Canary, kas izmeklē uzlaušanu. Izsekojot kiberdraudus, izlūkošanas analītiķi sagrupē uzlaušanas darbību kopas pēc īpašām metodēm, taktikas, procedūrām, mašīnām, cilvēkiem un citām novērotajām īpašībām. Tas ir veids, kā izsekot uzlaušanas draudiem, ar kuriem viņi saskaras.



Hafnium ir sarežģīta Ķīnas hakeru grupa, kas ilgstoši vadījusi kiberspiegošanas kampaņas pret ASV, norāda Microsoft. Tie ir virsotnes plēsēji — tieši tādi, kuriem vienmēr cieši seko oportūnistiski un gudri iznīcinātāji.

Pēc tam, kad Microsoft otrdien nāca klajā ar savu paziņojumu, darbība ātri tika aktivizēta. Bet kas ir šīs hakeru grupas, ko viņi vēlas un kā viņi piekļūst šiem serveriem, joprojām nav skaidrs. Iespējams, ka sākotnējā Hafnium grupa pārdeva vai kopīgoja savu ekspluatācijas kodu, vai arī citi hakeri ir apgriezuši tos, pamatojoties uz Microsoft izdotajiem labojumiem, skaidro Nikels.

Izaicinājums ir tāds, ka tas viss ir tik neskaidrs un tik daudz pārklājas, saka Nikels. Mēs esam redzējuši, ka no brīža, kad Microsoft publicēja par Hafnium, tas ir paplašināts ne tikai par Hafnium. Mēs esam redzējuši darbības, kas atšķiras no taktikas, paņēmieniem un procedūrām, nekā viņi ziņoja.



Izmantojot Microsoft Exchange serveru ievainojamības, ko organizācijas izmanto, lai vadītu savus e-pasta pakalpojumus, hakeri var izveidot tīmekļa čaulu — attāli pieejamu uzlaušanas rīku, kas viegli nodrošina piekļuvi aizmugures durvīm un inficētās iekārtas kontroli, kas ļauj viņiem kontrolēt apdraudēto serveri internetā un pēc tam pagriezt, lai nozagtu datus no visa mērķa tīkla. Tīmekļa apvalks nozīmē, ka, lai gan Microsoft ir izdevusi kļūdu labojumus, kurus, pēc uzņēmuma domām, līdz piektdienai bija pieteikuši tikai 10% Exchange klientu, pretiniekam joprojām ir piekļuve saviem mērķiem.

Microsoft programmatūras labojumu piemērošana ir būtisks pirmais solis, taču kopējā tīrīšana daudziem potenciālajiem upuriem būs daudz sarežģītāka, it īpaši, ja hakeri brīvi pārvietojas uz citām tīkla sistēmām.

Mēs cieši sadarbojamies ar CISA [Kiberdrošības un infrastruktūras drošības aģentūru], citām valsts aģentūrām un drošības uzņēmumiem, lai nodrošinātu, ka saviem klientiem sniedzam vislabākos norādījumus un seku mazināšanu, saka Microsoft pārstāvis. Vislabākā aizsardzība ir pēc iespējas ātrāk lietot atjauninājumus visās ietekmētajās sistēmās. Mēs turpinām palīdzēt klientiem, sniedzot papildu izmeklēšanas un ietekmes mazināšanas norādījumus. Ietekmētajiem klientiem ir jāsazinās ar mūsu atbalsta komandām, lai saņemtu papildu palīdzību un resursus.



Tā kā vairākas grupas tagad uzbrūk ievainojamībām, sagaidāms, ka uzlaušana nesamērīgi ietekmēs organizācijas, kuras vismazāk var atļauties aizsargāties pret tām, piemēram, mazos uzņēmumus, skolas un vietējās pašvaldības. teica bijušais ASV kiberdrošības ierēdnis Kriss Krebs.

Tomēr kāpēc? Krebs prasīja vietnē Twitter. Vai tas ir elastīgums Baidena administratora pirmajās dienās, lai pārbaudītu viņu apņēmību? Vai tā ir nekontrolējama kibernoziedzības banda? Darbuzņēmēji ir kļuvuši savvaļā?

Atkopšanās no SolarWinds uzlaušanas var ilgt 18 mēnešus

Aģentūras vadītājs, kas vada ASV centienus novērst Krievijas hakeru uzbrukumu, saka, ka atjaunošana prasīs ļoti ilgu laiku.



Ar potenciāli simtiem tūkstošu upuru visā pasaulē šī Exchange uzlaušanas kampaņa ir skārusi vairāk mērķu nekā SolarWinds uzlaušana, ko pašlaik veic ASV valdība. cīnās sakopt. Taču, tāpat kā SolarWinds uzlaušanas gadījumā, skaitļi nav viss: krievu hakeri, kas atradās aiz SolarWinds, bija ļoti disciplinēti un ķērās pie īpašiem vērtīgiem mērķiem, lai gan viņiem bija potenciāla piekļuve daudziem tūkstošiem.

Tas pats ir šeit. Pat ja kopējie skaitļi ir satraucoši, ne visi kompromisi ir katastrofāli.

Visi tie nav radīti vienādi, saka Nickels. Ir neaizsargāti Exchange serveri, kur durvis ir atvērtas, bet mēs nezinām, vai pretinieks ir izgājis cauri tiem. Ir nedaudz apdraudēti serveri; varbūt ir nomests tīmekļa apvalks, bet nekas tālāk. Tad ir otrs spektra gals, kur pretiniekiem bija turpinājums un viņi pārcēlās uz citām sistēmām.

Reti kad Baltais nams komentē kiberdrošības problēmas, taču Baidena administrācijai pirmajos divos amata mēnešos, starp SolarWinds uzlaušanu un šo pēdējo incidentu, ir bijis iemesls daudz runāt par uzlaušanu.

Mēs esam nobažījušies, ka ir liels upuru skaits, un strādājam ar saviem partneriem, lai izprastu tā apjomu, piektdienas pēcpusdienas preses konferencē sacīja Baltā nama preses sekretāre Džena Psaki. Tīkla īpašniekiem arī jāapsver, vai tie jau nav apdraudēti, un nekavējoties jāveic attiecīgie pasākumi.

paslēpties