211service.com
Kā Ķīnas uzbrukums Microsoft pārauga neapdomīgā uzlaušanā
Demetrius Freeman-Pool/Getty Images
Sākumā Ķīnas hakeri veica rūpīgu kampaņu. Divus mēnešus viņi izmantoja Microsoft Exchange e-pasta serveru nepilnības, rūpīgi atlasīja savus mērķus un zaguši veselas pastkastes. Kad izmeklētāji galu galā uzzināja, tas izskatījās pēc tipiskas tiešsaistes spiegošanas, taču pēc tam lietas dramatiski paātrinājās.
Ap 26. februāri šaurā operācija izvērtās par kaut kas daudz lielāks un daudz haotiskāk. Tikai dažas dienas vēlāk Microsoft publiski atklāja uzlaušanu — hakeri tagad ir pazīstami kā Hafnium — un izdeva drošības labojumu. Bet līdz tam uzbrucēji meklēja mērķus visā internetā: papildus desmitiem tūkstošu ziņots upuri ASV, valdības visā pasaulē ir paziņojot ka viņi arī tika kompromitēti. Pašlaik vismaz 10 hakeru grupas, no kurām lielākā daļa ir valdības atbalstītas kiberspiegošanas komandas, izmanto ievainojamības tūkstošiem serveru vairāk nekā 115 valstīs, saskaņā ar apsardzes firmai ESET.
Saistīts stāsts
Kā datu uzticēšanās var aizsargāt privātumu Mēs nevaram sagaidīt, ka cilvēki paši orientēsies neskaidrajā datu vākšanas pasaulē. Ir pienācis laiks apvienot spēkus.
Kamēr prezidents Džo Baidens domā atriebjoties pret Krievu hakeri, kuru uzbrukums citam programmatūras uzņēmumam SolarWinds , kļuva publiski pieejams decembrī, Hafnium uzlaušana ir kļuvusi par milzīgu bezmaksas visiem, un tā sekas varētu būt vēl sliktākas. Kamēr eksperti cenšas aizvērt Ķīnas uzlaušanas atklātās bedres, amatpersonas saka, ka Amerikas valdība ir koncentrējusies uz to, kas notiek blakus tūkstošiem nesen ievainojamu serveru, un kā reaģēt uz Ķīnu.
Vārti ir plaši atvērti ikvienam sliktajam dalībniekam, kurš vēlas kaut ko darīt ar jūsu Exchange serveri un pārējo jūsu tīklu, saka Šons Kosels, Volexity, kiberdrošības uzņēmuma, kas palīdzēja atklāt uzlaušanas darbību, viceprezidents. Labākais gadījums ir spiegošana — kāds, kurš vienkārši vēlas nozagt jūsu datus. Sliktākais gadījums ir izspiedējvīrusa iekļūšana un izvietošana visā tīklā.
Atšķirība starp abiem uzbrukumiem nav saistīta tikai ar tehniskām detaļām vai pat to, kura valsts tos izdarījusi. Lai gan 18 000 uzņēmumu lejupielādēja apdraudēto SolarWinds programmatūru, īsto mērķu skaits bija tikai neliela daļa. Tikmēr Hafnijs bija daudz neizvēlīgāks.
Abas sākās kā spiegošanas kampaņas, taču atšķirība patiešām ir tajā, kā tās tika veiktas, saka Dmitrijs Alperovičs, Silverado politikas paātrinātāja priekšsēdētājs. Krievu kampaņa SolarWinds tika veikta ļoti rūpīgi, kur krievi gāja pēc sev rūpīgajiem mērķiem un slēdza piekļuvi visur citur, lai ne viņi paši, ne kāds cits nevarētu iekļūt tajos mērķos, kas neinteresēja.
Pretstatā tam ar Ķīnas kampaņu, viņš saka.
27. februārī viņi saprot, ka ielāps iznāks, un viņi burtiski skenē pasauli, lai apdraudētu visus. Viņi atstāja tīmekļa čaulas, kas tagad var ļaut citiem iekļūt šajos tīklos, iespējams, pat izspiedējvīrusa dalībniekiem. Tāpēc tas ir ļoti neapdomīgi, bīstami, un uz to ir jāreaģē.
Masu ekspluatācija
Hafnium kampaņas sākums bija ļoti zem radara, saka Kosels.
Datorurķēšana netika veikta lielākajā daļā drošības pārbaužu: tā tika pamanīta tikai tad, kad Volexity pamanīja dīvainus un specifiskus interneta trafika pieprasījumus uzņēmuma klientiem, kuri izmantoja savus Microsoft Exchange e-pasta serverus.
Mēnesi ilga izmeklēšana parādīja, ka veselu pastkastīšu nozagšanai tika izmantotas četras retas nulles dienas darbības, kas potenciāli var postoši ietekmēt iesaistītās personas un uzņēmumus, taču šajā brīdī upuru bija maz, un zaudējumi bija salīdzinoši ierobežoti. Volexity nedēļām ilgi strādāja ar Microsoft, lai novērstu ievainojamības, taču Kosels saka, ka februāra beigās viņš pamanīja būtiskas izmaiņas. Sācis pieaugt ne tikai upuru skaits, bet arī palielinājies hakeru grupu skaits.
Nav skaidrs, kā vairākas valdības hakeru grupas uzzināja par nulles dienas ievainojamību, pirms Microsoft sniedza publisku paziņojumu. Tātad, kāpēc ekspluatācijas apjoms eksplodēja? Iespējams, daži norāda, ka hakeri varēja saprast, ka viņu laiks ir gandrīz beidzies. Ja viņi zināja, ka tuvojas ielāps, kā viņi to uzzināja?
Manuprāt, ir ļoti neparasti redzēt, ka tik daudzām dažādām [uzlabotās uzlaušanas] grupām ir piekļuve ievainojamības izmantošanai, kamēr informācija nav publiska, saka Metjū Faou, kurš vada ESET Exchange uzlaušanas izpēti. Viņš saka, ka ir divas galvenās iespējas. Detaļas par ievainojamību kaut kādā veidā tika nopludinātas apdraudējuma dalībniekiem, vai arī cita ievainojamības izpētes grupa, kas neatkarīgi strādāja apdraudējuma dalībnieku labā, atklāja to pašu ievainojamību kopumu.
Volexity vēroja, kā Hafnium slēpās tīklos vienu mēnesi, un veica pasākumus, lai tos izmestu, pirms Microsoft izdeva ielāpu. Tas varēja būt iemesls, kas lika Hafnijam saasināties. Vai arī, kā norāda Alperovičs, hakeri būtu varējuši izdomāt citu veidu, kā tiek ieviests ielāps — drošības komandas visā nozarē, tostarp Microsoft, regulāri apmainās ar informāciju par ievainojamībām un labojumiem. Kad Microsoft publiskoja paziņojumu, cīņai pievienojās vēl vairāk hakeru grupu.
Nākamajā dienā pēc ielāpu izlaišanas mēs sākām novērot daudz vairāk draudu dalībnieku, kas masveidā skenē un apdraud Exchange serverus, saka Faou. Visas, izņemot vienu no aktīvajām hakeru grupām, ir zināmas valdības atbalstītas hakeru komandas, kas koncentrējas uz spiegošanu. Tomēr ir neizbēgami, ka arvien vairāk apdraudējuma dalībnieku, tostarp izspiedējvīrusu operatoriem, agrāk vai vēlāk varēs piekļūt izmantošanai, viņš saka.
Aktivitātei pieaugot, Volexity novēroja vēl vienas izmaiņas uzvedībā: hakeri atstāja tīmekļa čaulas, kad ielauzās šajās sistēmās. Tie ir vienkārši uzlaušanas rīki, kas nodrošina pastāvīgu attālinātu piekļuvi inficētām iekārtām, lai hakeris varētu tās kontrolēt. Tie var būt efektīvi, taču tie ir arī salīdzinoši trokšņaini un viegli pamanāmi.
Tiklīdz hakeri nomet čaulu mašīnai, viņi var turpināt atgriezties, līdz tā ir iztīrīta — pat sākotnēji vainojamo ievainojamību novēršana nenotīrīs čaulas. Taču pats tīmekļa apvalks ir tikko aizsargāts, un to var izvēlēties citi hakeri — vispirms, lai ielauztos Exchange serveros un nozagtu e-pastus, bet pēc tam uzbruktu veseliem tīkliem.
Tās ir durvis ar slēdzeni, ko var viegli izvēlēties, saka Alperovičs, apsardzes firmas CrowdStrike līdzdibinātājs, kurš pagājušajā gadā pameta uzņēmumu.
Atšķirīgs izaicinājums
Datorurķēšana turpina pieaugt. Microsoft pirmdien veica reto soli, izlaižot drošības ielāpus neatbalstītām Exchange versijām, kuras parasti būtu pārāk vecas, lai nodrošinātu, ka tas liecina par to, cik nopietns, uzņēmumaprāt, ir uzbrukums. Microsoft atteicās komentēt.
Kamēr Baltais nams apsver atbildi, risks pieaug. Baidena administrācija lēnām nodarbojas ar sarežģīto SolarWinds spiegošanu, taču Hafnium hakeru haoss rada pavisam citu izaicinājumu — gan problēmas novēršanā, gan atbildē uz hakeriem.
Ir jābūt ziņai, kas tiek nosūtīta ķīniešiem, ka tas ir nepieņemami, apgalvo Alperovičs. Viņš saka, ka ASV ir skaidri jānorāda, ka mēs liksim viņus pie atbildības par jebkādiem zaudējumiem, ko radījuši noziedzīgi dalībnieki, izmantojot šo piekļuvi, viņš saka, un mums ir jāspiež tās pēc iespējas ātrāk noņemt šīs tīmekļa čaulas no visiem upuriem.