W piątek poinformowali o tym dziennikarze zajmujący się cyberbezpieczeństwem Brian Krebs i Andy Greenberg aż 30 000 organizacji zostało przejętych w bezprecedensowym włamaniu do serwera e-mail, który prawdopodobnie pochodzi ze sponsorowanej przez państwo chińskiej grupy hakerskiej znanej jako Hafnium.
W ciągu weekendu to oszacowanie ma podwoił się do 60 000 klientów Microsoft Exchange Server zaatakowanych na całym świecie, z przyznaje Europejski Urząd Nadzoru Bankowego że to jedna z ofiar – i wygląda na to, że Microsoftowi zajęło trochę zbyt dużo czasu, zanim zdał sobie sprawę z wagi i załatał to. Krebs teraz zebrał podstawowa oś czasu o masowym włamaniu do Exchange Server i mówi, że Microsoft potwierdził, że został poinformowany o lukach na początku stycznia.
To prawie dwa miesiące przed wydaniem przez Microsoft pierwszego zestawu poprawek, obok posta na blogu to nie wyjaśnia zakresu ani skali ataku. Początkowo planował nawet poczekać na jeden ze swoich standardowych wtorków z łatami, ale ustąpił i wypchnął go tydzień wcześniej.
Teraz, Przegląd technologii MIT raporty Hafn może nie być jedynym zagrożeniem, cytując analityka ds. Cyberbezpieczeństwa, który twierdzi, że przynajmniej pięć grup hakerskich aktywnie wykorzystuje luki serwera Exchange od soboty. Podobno urzędnicy rządowi próbują coś zrobić z jednym urzędnikiem państwowym wymowny Cyberscoop że to „wielka transakcja”.
Bardziej dyplomatycznie, sekretarz prasowy Białego Domu Jen Psaki nazwano to „Aktywne zagrożenie”, na które zwraca się większą uwagę dyrektywa w sprawie sytuacji nadzwyczajnych które agencja ds. cyberbezpieczeństwa Departamentu Bezpieczeństwa Wewnętrznego wysłała 3 marca. Jake Sullivan, doradca ds. Bezpieczeństwa narodowego Białego Domu, również przed tym ostrzegał, podobnie jak były dyrektor Agencji ds. Cyberbezpieczeństwa i Infrastruktury, Christophera Krebsa oraz Rada Bezpieczeństwa Narodowego Białego Domu.
To jest prawdziwa okazja. Jeśli Twoja organizacja obsługuje serwer OWA wystawiony na działanie Internetu, załóż kompromis między 02 / 26-03 / 03. Sprawdź 8-znakowe pliki aspx w C: \ inetpub wwwroot aspnet_client system_web . Jeśli trafisz na to wyszukiwanie, jesteś teraz w trybie reagowania na incydenty. https://t.co/865Q8cc1Rm
– Chris Krebs (@C_C_Krebs) 5 marca 2021 r
Stosowanie poprawek i środki zaradcze nie stanowią środków zaradczych, jeśli serwery zostały już naruszone. Istotne jest, aby każda organizacja, która ma wrażliwy serwer, podjęła natychmiastowe działania w celu ustalenia, czy nie były już celem. https://t.co/HYKF2lA7sn
– Rada Bezpieczeństwa Narodowego (@WHNSC) 6 marca 2021 r
W tym momencie wiadomość powinna być jasna, że każdy, kto zainstalował lokalny serwer Microsoft Exchange (2010, 2013, 2016 lub 2019), musi wykonać poprawki i przeskanować, ale dopiero zaczynamy rozumieć zakres szkód. Hakerzy podobno zainstalowali złośliwe oprogramowanie, które może pozwolić im z powrotem na te serwery, a my nie wiemy jeszcze, co mogli już zrobić.
„Podejmujemy pełną odpowiedź rządu, aby ocenić i zająć się wpływem” – czytamy w części e-maila od urzędnika Białego Domu, według Bloomberg.
Firma Microsoft nie od razu odpowiedziała na prośbę o komentarz dotyczący czasu wprowadzenia poprawek i ujawnień.