Любопытный таймлайн использования эксплойт-кита ProxyLogon, основанного на эксплуатации четырех уязвимостей в Microsoft Exchange,
приводят журналисты ZDNet.Интересный момент содержится в следующем -
исследователь DEVCORE, которому приписывается обнаружение двух уязвимостей из ProxyLogon, 5 января написал у себя в Twitter об обнаружении ошибок, позволяющих осуществить RCE без аутентификации,
и о передаче соответствующего отчета производителю ПО.А, согласно
отчету инфосек компании Volexity,
атаки с использованием ProxyLogon со стороны китайской APT начались ориентировочно с 3 января, то есть всего двумя днями ранее.
Это очень странное совпадение и оно
дает основание предположить, что информация об уязвимостях могла каким-то образом попасть в руки китайских хакеров непосредственно от исследователей, нашедших ошибки, либо от производителя ПО.
Основных вариантов тут три: - исследователь сам продал данные об эксплойтах китайцам, а потом тут же отрепортил в Microsoft;
- китайцы контролировали ресурсы исследователя и смогли оперативно увести информацию об уязвимости (вспоминаем кампанию северокорейской APT Lazarus по шпионажу за инфосек экспертами и задаемся вопросом, а почему этим же не могут заниматься китайские хакеры);
- информация утекла из ранних отчетов из самой Microsoft (вспоминаем про атаки на SolarWinds Orion со стороны китайской APT Spiral, улыбаемся и машем).
Есть над чем подумать.
Язык ненависти оказывает сдерживающий эффект на демократический дискурс в онлайн-среде. (c) Еврокомиссия