Microsoft afferma che gli hacker cinesi sono responsabili degli attacchi di scambio

Microsoft spune că hackerii chinezi sunt responsabili pentru atacurile de schimb

Microsoft a primit marți un avertisment pentru clienții săi și îi cheamă cu îndrăzneală pe actorii răi. Potrivit Microsoft, hackerii chinezi se află în spatele atacurilor Exchange. Compania susține că afacerile americane au fost vizate de exploatările unui defect al produsului de e-mail.

Atacatorii chinezi exploatează Microsoft Exchange

Microsoft a atras atenția asupra patru vulnerabilități de zi zero care au fost descoperite recent. Compania a conectat atacurile Exchange la patch-uri și la o listă de indicatori de compromis.

Cercetătorii companiei au etichetat grupul de hacking drept „HAFNIUM”. Aceștia au explicat că grupul este un „actor foarte calificat și sofisticat”, cu accent pe spionaj prin furt de date. Se știe că HAFNIUM urmărește mai multe entități din SUA, inclusiv „cercetători în boli infecțioase, firme de avocatură, instituții de învățământ superior, contractanți de apărare, grupuri de reflecție politice și ONG-uri”, potrivit cercetătorilor.

Atacurile Exchange au dus la exfiltrarea datelor din conturile de e-mail. Hackerii au acces la un server Exchange folosind zero zile. Adesea foloseau un shell web și deturnau de la distanță serverele. Acest lucru le permite să fure date dintr-o rețea asociată. Microsoft a declarat că aceste atacuri au fost lansate de pe servere private din SUA.

Tom Burt, vicepreședinte Microsoft pentru securitatea clienților, a cerut clienților Exchange să actualizeze rapid defectele de securitate. „Chiar dacă am lucrat rapid pentru a implementa o actualizare pentru exploatările HAFNIUM, știm că mulți actori ai statelor naționale și grupuri criminale se vor mișca rapid pentru a profita de orice sistem neperfectat. Aplicarea promptă a patch-urilor de astăzi este cea mai bună protecție împotriva acestui atac ”, a spus el.

Cercetătorii de la două firme de securitate separate, Volexity și Dubex, au adus atacurile Exchange în atenția Microsoft. Cercetătorii Volexity au găsit dovezi ale atacurilor din 6 ianuarie.

Date de atac Microsoft Exchange

Într-o postare pe blog, cercetătorii au spus: „Prin analiza memoriei de sistem, Volexity a stabilit că atacatorul exploatează o vulnerabilitate de zero zile pe partea serverului (SSRF) în Microsoft Exchange (CVE-2021-26855). Atacatorul folosea vulnerabilitatea pentru a fura conținutul complet al mai multor căsuțe poștale ale utilizatorilor. Această vulnerabilitate este exploatabilă de la distanță și nu necesită autentificare de niciun fel și nici nu necesită cunoștințe speciale sau acces la un mediu țintă. Atacatorul trebuie doar să cunoască serverul care rulează Exchange și ce cont din care doresc să extragă e-mail-ul. ”

Nu este asociat cu „SolarWinds”

Microsoft a obținut-o din toate unghiurile în ultima vreme. Sunt, de asemenea, încurcați în mizeria SolarWinds. Dar, potrivit companiei, atacul Exchange nu este conectat la Solar Winds.

Nu s-a anunțat câte companii au fost afectate de atacurile Exchange. Se crede, de asemenea, că HAFNIUM nu acționează singur și că ar putea fi mai mulți implicați. Autoritățile federale au fost puse la curent cu atacurile de schimb.

Citiți avertismentul emis de Microsoft toamna trecută cu privire la creșterea atacurilor cibernetice din cauza pandemiei.