Według doniesień cztery exploity znalezione w oprogramowaniu Microsoft Exchange Server doprowadziły do zhakowania ich e-maili ponad 30 000 amerykańskich organizacji rządowych i komercyjnych. raport autorstwa KrebsOnSecurity. Przewodowy również raportuje „Dziesiątki tysięcy serwerów pocztowych” zostały zhakowane. Exploity zostały załatane przez Microsoft, ale rozmawiają z nimi eksperci ds. Bezpieczeństwa Krebs mówią, że proces wykrywania i czyszczenia będzie ogromnym wysiłkiem dla tysięcy rządów stanowych i miejskich, wydziałów straży pożarnej i policji, okręgów szkolnych, instytucji finansowych i innych organizacji, które zostały dotknięte.
Według Microsoftu luki te umożliwiły hakerom uzyskanie dostępu do kont e-mail, a także umożliwiły im zainstalowanie złośliwego oprogramowania, które mogłoby pozwolić im wrócić na te serwery w późniejszym czasie.
Krebs i Przewodowy donoszą, że atak został przeprowadzony przez Hafnium, chińską grupę hakerską. Chociaż Microsoft nie mówił o skali ataku, to jednak wskazuje również na tę samą grupę jako że wykorzystał luki w zabezpieczeniach, mówiąc, że ma „duże przekonanie”, że grupa jest sponsorowana przez państwo.
Według KrebsOnSecurity, atak trwa od 6 stycznia (dzień zamieszek), ale wzrosła pod koniec lutego. Microsoft opublikował swoje łatki 2 marca, co oznacza, że atakujący mieli prawie dwa miesiące na przeprowadzenie swoich operacji. Powiedział prezes firmy Volexity zajmującej się bezpieczeństwem cybernetycznym, która odkryła atak Krebs że „jeśli używasz Exchange i jeszcze tego nie załatałeś, istnieje bardzo duże prawdopodobieństwo, że Twoja organizacja jest już zagrożona”.
Zarówno doradca ds. Bezpieczeństwa narodowego Białego Domu, Jake Sullivan, jak i były dyrektor agencji ds. Bezpieczeństwa cybernetycznego i infrastruktury Chris Krebs (bez związku z KrebsOnSecurity) napisali na Twitterze o powadze incydentu.
To jest prawdziwa okazja. Jeśli Twoja organizacja obsługuje serwer OWA wystawiony na działanie Internetu, załóż kompromis między 02 / 26-03 / 03. Sprawdź 8-znakowe pliki aspx w C: \ inetpub wwwroot aspnet_client system_web . Jeśli trafisz na to wyszukiwanie, jesteś teraz w trybie reagowania na incydenty. https://t.co/865Q8cc1Rm
– Chris Krebs (@C_C_Krebs) 5 marca 2021 r
Microsoft wydał kilka aktualizacji zabezpieczeń w celu usunięcia luk i sugeruje ich natychmiastową instalację. Warto zauważyć, że jeśli Twoja organizacja korzysta z Exchange Online, nie zostanie to naruszone – exploit był obecny tylko na samoobsługowy serwery z systemem Exchange Server 2013, 2016 lub 2019.
Chociaż atak na dużą skalę, prawdopodobnie przeprowadzony przez organizację państwową, może brzmieć znajomo, Microsoft jest jasny z którymi ataki „nie są w żaden sposób powiązane” ataki SolarWinds które w zeszłym roku skompromitowały agencje i firmy rządu federalnego USA.
Prawdopodobnie nadal istnieją szczegóły dotyczące tego włamania – do tej pory nie było oficjalnej listy organizacji, które zostały zhakowane, a jedynie niejasny obraz dużej skali i dotkliwości ataku.
Rzecznik Microsoftu powiedział, że firma jest „ściśle współpracując z [Cybersecurity and Infrastructure Security Agency], inne agencje rządowe i firmy zajmujące się bezpieczeństwem, aby zapewnić naszym klientom najlepsze możliwe wskazówki i środki zaradcze, ” i to “[t]Najlepszą ochroną jest jak najszybsze zastosowanie aktualizacji we wszystkich systemach, których dotyczy problem. ”