Już 30.000 poszkodowanych w samych Stanach Zjednoczonych.
Luki cztery, poszkodowanych niezliczona ilość
Co najmniej 30 000 organizacji w Stanach Zjednoczonych - w tym małe firmy i samorządy lokalne - zostało w ciągu ostatnich kilku dni zhakowanych przez niezwykle agresywną chińską jednostkę, wyspecjalizowaną w kradzieży wiadomości poczty elektronicznej. Grupa ta wykorzystuje cztery nowo odkryte luki w oprogramowaniu pocztowym Microsoft Exchange Server i wstrzyknęła setkom tysięcy komputerów na całym świecie narzędzia, które dają atakującym całkowitą, zdalną kontrolę nad systemami, których dotyczy problem.
Luki załatane ale co z tego?
Zaledwie kilka dni temu, 2 marca 2021 roku, Microsoft wydał awaryjne aktualizacje zabezpieczeń, aby zlikwidować cztery luki w zabezpieczeniach Exchange Server w wersjach od 2013 do 2019, które hakerzy aktywnie wykorzystywali do przejmowania komunikacji e-mail z systemów, na których działa Exchange.
W ciągu trzech dni, które minęły od tego czasu, chińska grupa niebywale zintensyfikowała ataki na wszystkie wrażliwe, niezałatane serwery Exchange na całym świecie.
Przy każdym takim udanym ataku intruzi pozostawiali sobie powłokę systemową a więc łatwe w użyciu, chronione hasłem narzędzie dostępu do serwera. Dzięki temu zachowali możliwość uzyskania dostępu do komputera ofiary przez Internet, z poziomu przeglądarki WWW. Podkreślmy, że powłoka internetowa zapewnia atakującym dostęp administracyjny do serwerów komputerowych ofiary.
Skala problemu
Microsoft oświadczył, że luki w Exchange były celem niezidentyfikowanej wcześniej chińskiej ekipy hakerskiej, którą nazywa „Hafnium”. Zdaniem amerykańskiej firmy grupa przeprowadzała ukierunkowane ataki na systemy poczty elektronicznej używane przez szereg sektorów przemysłu, w tym ekspertów od chorób zakaźnych, kancelarie prawne i instytucje edukacyjne, firmy z sektora obronności, think tanki zajmujące się polityką i organizacje pozarządowe.
Firma Volexity z siedzibą w Wirginii zgłaszała luki do Microsoftu. Prezes Volexity, Steven Adair, powiedział, że firma po raz pierwszy zobaczyła, jak napastnicy po cichu wykorzystują błędy Exchange 6 stycznia 2021 roku a więc w dniu, w którym większość świata była przyklejona do relacji telewizyjnych z zamieszek na Kapitolu. Adair powiedział, że w ciągu ostatnich kilku dni grupa hakerska wrzuciła drugi bieg w swoich działaniach, szybko skanując Internet w poszukiwaniu serwerów Exchange, które nie były jeszcze chronione przez aktualizacje zabezpieczeń wydane przez Microsoft we wtorek.
Sprawdź oferty pracy na TeamQuest
Nawet jeśli zainstalowałeś łatkę tego samego dnia, w którym Microsoft opublikował swoje poprawki, nadal istnieje duża szansa, że na Twoim serwerze znajduje się aktywna powłoka systemowa. Prawda jest taka, że jeśli administrujesz Exchange i jeszcze tego nie załatałeś, istnieje bardzo duże prawdopodobieństwo, że Twoja organizacja padła ofiarą ataku.
Zalecenia
Microsoft ściśle współpracuje w tym temacie m.in. z amerykańską Agencją ds. Cyberbezpieczeństwa i Infrastruktury (CISA). Najlepszą ochroną jest jak najszybsze zastosowanie aktualizacji we wszystkich systemach, których dotyczy problem - powiedział rzecznik firmy Microsoft w pisemnym oświadczeniu. Wciąż pomagamy klientom, dostarczając dodatkowe wskazówki dotyczące dochodzenia i łagodzenia skutków. Klienci, których to dotyczy, powinni skontaktować się z naszymi zespołami pomocy technicznej, aby uzyskać dodatkową pomoc i zasoby. W międzyczasie CISA nakazała wszystkim federalnym departamentom i agencjom cywilnym posiadającym wrażliwe serwery Microsoft Exchange, aby zaktualizowały oprogramowanie lub odłączyły produkty od swoich sieci.
Na razie nie znaleziono tropów łączących obecną kryzysową sytuację z „hakiem stulecia” a więc aferą SolarWind.
