Допълнение: 10.03.2021: В оригинала на материала беше написано, че Microsoft издават обновления за уязвимостите през февруари. Направиха го едва с мартенския Patch Tuesday.
Ако 2020 година беше кошмарна за киберсигурността на организации, предприятия и обикновените хора, то 2021 едва ли ще е по-различна. Доказателство за това твърдение вече дойде в края на миналата година с атаката към потребителите на SolarWinds Orion. А сега разбираме за това, което може да е хакерската атака на 2021 – независимо, че сме едва в началото на годината.
През януари, от компанията за сигурност Volexity се натъкват на подозрителна активност към Exchange сървъра на свой клиент. В последвалия анализ на ситуацията, те откриват, че неизвестна страна експлоатира две непознати досега уязвимости в популярния имейл софтуер на Microsoft – CVE-2021-26855 и CVE-2021-27065 представляват дистанционно експлоатируеми слабости в Exchange, позволяващи изпълнението на произволен код към уязвимите системи.
„Във всички случаи на изпълнението на зловреден код по отдалечен път, Volexity регистрира едни и същи действия на атакуващата страна, свързани с писането на уебшел на диска (aspx файлове) и осъществяването на последващи операции по кражбата на авторизационни данни, добавянето на потребителски акаунти, кражбата на Active Directory бази данни (NTDS.DIT) и придвижване към други системи и среди“, пишат Volexity в началото на този месец.
И за съжаление, атаките към дупките не закъсняват, като поне по думите на Microsoft, тук се включва и група, подпомагана от чуждо правителство – базирана в Китай група, която те наричат Hafnium и която е известна на Microsoft с дейността си от преди. През миналата седмица обаче, компаниите по сигурност регистрират внезапен и огромен по обем ръст.
„Говорейки при условие, че тяхната анонимност бъде запазена, двама киберексперти, които са уведомили съветниците по национална сигурност на САЩ, заявиха пред KrebsOnSecurity, че китайската хакерска група се смята за отговорна за поемането на контрола над стотици хиляди Microsoft Exchange сървъри по целия свят, като всяка жертва представлява организация, използваща Exchange за обработка на електронната си поща“, започва материала си от края на миналата седмица Браян Кребс. „Стотици хиляди“ звучи доста алармистко и вероятно в следващите седмици ще научим повече за случая, но конкретно за САЩ, той посочва конкретен брой организации, чиито Exchange инстанции са били компрометирани в скорошните атаки. Става дума за поне 30 000 организации, сред които малки бизнеси, градски, местни и правителствени власти.
Атаките провокираха Агецията по киберсигурност и защита на инфраструктурата на САЩ да издаде специален бюлетин, призоваващ компаниите да наложат веднага обновленията, адресиращи съответните уязвимости или направо да изключат Exchange сървърите си от Интернет. Отделно от това, специалисти вече публикуват и различни инструменти, с които администриращите Exchange инстанции да проверят дали са били засегнати от атаките.
Самият Кребс разказва, че е видял резултатите от един от сканиращите инструменти за наличието на уебшел програмите, оставяни от хакерите и пише за хиляди засегнати организации в САЩ, сред които банки, кредитни съюзи, телекоми, полицейски служби и др. Случаят провокира американското правителство да свика спешна консултативна група по случая в неделя, като Microsoft работят активно с Белия дом и засегнатите организации по разследване на инцидента. Що се отнася до приписването на отговорност на конкретна страна – деликатна тема, когато става дума за онлайн пространството, то един от експертите, които говорят с Кребс, изразява съмнение, че става дума за китайска APT (advanced persistent threat) група. Техният modus operandi, подобно и на всяка друга подобна група се изразява в дейности, които да прикрият възможно най-дълго присъствието им в компрометираните мрежи и системи, а не да заявяват така демонстративно присъствието си, което е по-подобаващо на обикновени киберпрестъпници. Очаквайте подробности.
