9 марта 2021 г.
Китайские хакеры, использовав четыре уязвимости Microsoft Exchange Server, выкрали электронную почту по меньшей мере у 30 тысяч организаций в США, сообщает сайт KrebsOnSecurity.
Финансируемая государством хакерская группа Hafnium значительно расширила масштаб своих атак на мелкие компании и муниципальные органы в США с тех пор, как Microsoft выпустила патч в минувший вторник, пишет KrebsOnSecurity. Среди пострадавших — тысячи американских банков, кредитных союзов, некоммерческих организаций, коммунальных служб, поставщиков телекоммуникационных услуг, а также управлений полиции, пожарных и спасательных служб, сообщает KrebsOnSecurity.
«Это полицейские управления, больницы, масса муниципальных органов и органов власти штатов, а также кредитные союзы, — поделился источник, тесно сотрудничающий с федеральными органами. — Практически каждый, кто использует Outlook Web Access на локальном сервере и не установил патч несколько дней назад, подвергся атаке нулевого дня».
Microsoft сообщила в пятницу, что тесно сотрудничает с Агентством кибербезопасности и инфраструктурной безопасности США (CISA), другими государственными органами и компаниями кибербезопасности, чтобы предоставить самые эффективные рекомендации по снижению риска. Большинство пострадавших организаций до сих пор используют у себя почтовые системы с клиентом Outlook Web Access (OWA) в тандеме с серверами Exchange, поясняет KrebsOnSecurity.
«В Microsoft скажут: Установите патч, но еще лучше перейти в облако, — сказал один государственный эксперт по кибербезопасности. — Но как они защитят свои продукты вне облака? Пусть засыхают на корню?»
Хакеры внедрили в сети сотен тысяч организаций по всему миру средства, дающие им полный удаленный контроль над инфицированной системой, пишет KrebsOnSecurity. В каждой такой атаке на уязвимые, непропатченные серверы Exchange взломщики оставили простой в использовании, защищенный паролем хакерский инструмент, к которому можно получить доступ через Интернет из любого браузера.
За прошедшие несколько дней Hafnium развернула бурную деятельность, сканируя Интернет на предмет серверов Exchange, еще не защищенных патчем Microsoft, сообщил сайту KrebsOnSecurity Стивен Адэр (Steven Adair), президент компании Volexity, предоставляющей услуги реагирования на ИБ-инциденты. (В минувший вторник Volexity сообщила, что наблюдает использование уязвимостей Microsoft Exchange для кражи электронной почты и взлома сетей, а сами атаки начались еще 6 января.)
В пятницу Адэр сообщил сайту KrebsOnSecurity, что принял десятки звонков из местных органов власти и штатов, умоляющих помочь после выявления «лазеек» в их серверах Exchange. Но патчи лишь затыкают точки доступа для Hafnium, не устраняя уже нанесенный ущерб.
Чем больше времени потребуется пострадавшим, чтобы удалить эти лазейки, тем вероятнее, что Hafnium установит новый бэкдор и лишь расширит фронт атаки, охватив другие части сетевой инфраструктуры жертв, говорит Адэр. Многие местные органы власти и школьные округа просто умоляют о помощи, сказал он.
«Когда счет идет на десятки тысяч, как устранить последствия взлома? — говорит Адэр. — На рынке просто нет такого количества специалистов, чтобы сделать это быстро».
Microsoft заявила во вторник, что хакеры провели лишь «ограниченные прицельные атаки» на локальные серверы Exchange. Но фирма Huntress, поставщик услуг реагирования на киберугрозы (MDR), выступила против попыток преуменьшить опасность атак, заявив, что их масштаб значительный.
Примерно 800 из 3 тысяч серверов Exchange, проверенных специалистами Huntress, всё еще подвержены эксплойтам нулевого дня, использованным хакерами Hafnium, пишет Джон Хаммонд (John Hammond), старший специалист по безопасности Huntress, в своем блоге в пятницу. Huntress сообщила также, что на более чем 300 серверах ее партнеров установлены хакерские веб-оболочки.
«Так что это гораздо более широкая кампания, чем лишь „ограниченные прицельные атаки“, как о том говорит Microsoft, — пишет в блоге Хаммонд. — Пострадавшие компании не вполне вписываются в картину, нарисованную вендором».
© 2021. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Майкл Новинсон, CRN/США