Plik Europejski Urząd Nadzoru Bankowego (EBA) twierdzi, że w pełni przywrócił swoje usługi po cyberataku na serwery Microsoft Exchange, wykorzystując luki w zabezpieczeniach ujawnione przez Microsoft w zeszłym tygodniu, które, jak się obecnie uważa, wpłynęły na ponad 100 000 organizacji na całym świecie.
EBA ujawnił w niedzielę 7 marca że padł ofiarą ataku na swoje serwery Exchange – stał się jedną z pierwszych głośnych ofiar fali cyberataków, która wystąpiła naprzód od nagłych ujawnień w zeszłym tygodniu.
Po incydencie organizacja wyłączyła swoje usługi e-mail na czas dochodzeń i wdrożyła dodatkowe środki bezpieczeństwa i monitorowanie z pomocą swoich dostawców IT, ekspertów w dziedzinie cyberprzestępczości i Unii Europejskiej. Zespół reagowania na incydenty komputerowe (CERT-EU).
„EBA ustalił, że zakres zdarzenia spowodowanego przez ostatnio szeroko zgłoszone luki w zabezpieczeniach był ograniczony i że poufność systemów i danych EBA nie została naruszona” – powiedział dziś rzecznik.
„Dzięki podjętym środkom zapobiegawczym EBA zdołał usunąć istniejące zagrożenie, a tym samym przywrócono jego usługi komunikacji e-mailowej.
„Odkąd EBA zdał sobie sprawę z luk w zabezpieczeniach, przyjął proaktywne podejście i przeprowadził dokładną ocenę, aby odpowiednio i skutecznie wykryć wszelkie włamania do sieci, które mogłyby zagrozić poufności, integralności i dostępności jego systemów i danych.
„Poza ponownym zabezpieczeniem swojego systemu poczty e-mail, EBA pozostaje w stanie podwyższonego alarmu bezpieczeństwa i będzie nadal monitorować sytuację”.
Wykorzystanie czterech omawianych luk – które dotyczą tylko lokalnych wersji Microsoft Exchange – zostało początkowo przypisane chińskiej grupie zaawansowanych trwałych zagrożeń (APT) znanej jako Hafnium, ale szybko przyciągnęły uwagę innych złośliwych podmiotów, z wieloma innymi zagrożeniami zespoły badawcze wcześnie monitorujące powszechną eksploatację. W świetle powyższego nie można powiedzieć, czy celem EUNB był hafn, czy inna grupa.
Jednak po tygodniu staje się jasne, że skala wynikających z nich cyberataków jest niezwykle znacząca, a skany pokazują, że powłoka internetowa backdoora została wdrożona na wrażliwych serwerach obecnych w tysiącach sieci, według KrebsOnSecurity, które poinformowało również, że większość dotychczas dotkniętych organizacji korzystała z poczty e-mail Microsoft Outlook Web Access (OWA) połączonej z Internetem, a także wewnętrznych serwerów Exchange.
Mark Bower, starszy wiceprezes w Comforte AG, powiedział, że teraz staje się jasne, że zagrożenie może znacznie wykraczać poza samą pocztę e-mail. „Ostatnie wytyczne CISA wskazują na możliwość kompromitacji serwera i systemu podrzędnego, co jest niezwykle niepokojące dla liderów dotkniętych organizacji” – powiedział.
„Zdolność atakujących do wyodrębniania poufnych danych z wiadomości e-mail, arkuszy kalkulacyjnych w skrzynkach pocztowych, niezabezpieczonych danych uwierzytelniających w wiadomościach, a także dołączonych serwerów, stanowi zaawansowane i trwałe zagrożenie o wielu wymiarach.
„Przewiduję, że podmioty, których to dotyczy, i ich partnerzy w łańcuchu dostaw będą w wyniku trwałego wtórnego wpływu przez długi czas”.