Атака на почтовые сервера Microsoft, в которой обвиняется Китай, превращается в глобальный кризис

Источник

ЦитатаИзощренная атака на широко используемое программное обеспечение электронной почты Microsoft Corp. превращается в глобальный кризис кибербезопасности, поскольку хакеры стремятся заразить как можно больше жертв, прежде чем компании смогут защитить свои компьютерные системы. Атака, которая, по словам Microsoft, началась с хакерской группы, поддерживаемой китайским правительством, до сих пор утверждала, что по меньшей мере 60 000 известных жертв во всем мире, по словам бывшего высокопоставленного американского чиновника, знающего о расследовании. Многие из них, по-видимому, являются малыми или средними предприятиями, попавшими в широкую сеть, которую злоумышленники бросили, когда Microsoft работала над закрытием взлома. Европейское банковское управление стало одной из последних жертв, поскольку оно в воскресенье заявило, что доступ к личным данным через электронную почту, хранящуюся на сервере Microsoft, возможно, был скомпрометирован. Другие идентифицированные до сих пор включают банки и поставщиков электроэнергии, а также дома престарелых и компанию по производству мороженого, согласно сообщению Huntress, базирующейся в Элликотт-Сити, штат Мэриленд, которая следит за безопасностью клиентов, в блоге в пятницу. Одна американская компания по кибербезопасности, попросившая не называть ее имени, заявила, что ее эксперты в одиночку работают по меньшей мере с 50 жертвами, пытаясь быстро определить, какие данные хакеры могли взять, а также попытаться их извлечь. Быстро нарастающая атака произошла спустя месяцы после начала войны. SolarWinds Corp. нарушения со стороны предполагаемых российских кибератак, а также вызвали обеспокоенность американских чиновников национальной безопасности отчасти потому, что последние хакеры были в состоянии поразить так много жертв так быстро. Исследователи говорят, что на последних этапах атаки преступники, по-видимому, автоматизировали этот процесс, собрав десятки тысяч новых жертв по всему миру в течение нескольких дней. Вашингтон-это "Нью-Йорк Таймс" сообщила со ссылкой на неназванных официальных лиц, что в течение следующих трех недель готовит свои первые крупные шаги в ответ на иностранное вторжение. Он планирует серию тайных акций через российские сети, направленных на то, чтобы послать сообщение Владимиру Путину и его разведывательным службам, в сочетании с экономическими санкциями. Президент Джо Байден может издать исполнительный указ, чтобы укрепить федеральные агентства против российского хакерства, сообщает газета. “Мы предпринимаем целый правительственный ответ, чтобы оценить и устранить последствия”, - написал чиновник Белого дома по электронной почте в субботу. “Это активная угроза, которая все еще развивается, и мы призываем сетевых операторов отнестись к ней очень серьезно.” Китайская хакерская группа, которую Microsoft называет Hafnium, по-видимому, взламывала частные и правительственные компьютерные сети через популярное программное обеспечение электронной почты Exchange компании в течение нескольких месяцев, первоначально нацеливаясь только на небольшое число жертв, по словам Стивена Адера, главы компании northern Virginia. Волексия. Компания по кибербезопасности помогла Microsoft выявить недостатки, используемые хакерами, для которых софтверный гигант выпустил исправление во вторник. В результате возник второй кризис кибербезопасности, наступивший всего через несколько месяцев после того, как подозреваемые российские хакеры взломали девять федеральных агентств и по меньшей мере 100 компаний. фальсифицированные обновления от производителя программного обеспечения для управления ИТ SolarWinds LLC. Эксперты по кибербезопасности, защищающие мировые компьютерные системы, выразили растущее чувство разочарования и истощения.
‘Начинаю Уставать"
“Хорошие парни устают", - сказал Чарльз Кармакал, старший вице-президент компании FireEye Inc., Милпитас, калифорнийская компания по кибербезопасности.
Отвечая на вопрос о том, что Microsoft приписывает атаку Китаю, представитель китайского МИД сказал в среду, что страна “решительно выступает против и борется с кибератаками и киберугрозами во всех формах” и предположил, что обвинение конкретной нации было “очень чувствительным политическим вопросом.”
Как самый последний инцидент, так и атака SolarWinds показывают хрупкость современных сетей и изощренность спонсируемых государством хакеров для выявления труднодоступных уязвимостей или даже создания их для ведения шпионажа. Они также включают в себя сложные кибератаки, с первоначальным радиусом взрыва большого количества компьютеров, который затем сужается по мере того, как злоумышленники сосредотачивают свои усилия, что может занять у пострадавших организаций недели или месяцы, чтобы решить эту проблему. В случае ошибок Microsoft простое применение обновлений, предоставленных компанией, не удалит злоумышленников из сети. Необходимо провести обзор затронутых систем, сказал Кармакал. И Белый дом подчеркнул то же самое, включая твиты из Совета национальной безопасности, призывающие растущий список жертв тщательно прочесать свои компьютеры в поисках признаков нападавших. Первоначально китайские хакеры, по-видимому, нацеливались на высокоэффективные разведывательные цели в США, сказал Адэр. Примерно неделю назад все изменилось. Другие неопознанные хакерские группы начали поражать тысячи жертв в течение короткого периода времени, вставляя скрытое программное обеспечение, которое могло бы дать им доступ позже, сказал он.
‘Массовая Эксплуатация’
”Они отправились в город и начали массовую эксплуатацию-неизбирательные атаки, компрометирующие серверы exchange, буквально по всему миру, без учета цели, размера или отрасли", - сказал Адэр. - Они атаковали все сервера, какие только могли.” Адер сказал, что другие хакерские группы, возможно, обнаружили те же недостатки и начали свои собственные атаки-или что Китай, возможно, хотел захватить как можно больше жертв, а затем разобраться, какие из них имеют разведывательную ценность. В любом случае, атаки были настолько успешными и быстрыми, что хакеры, похоже, нашли способ автоматизировать этот процесс. “Если вы используете сервер Exchange, вы, скорее всего, являетесь жертвой”, - сказал он. Данные других охранных компаний свидетельствуют о том, что масштабы атак могут оказаться не такими уж маленькими. Исследователи из Huntress исследовали около 3000 уязвимых серверов в сетях своих партнеров и обнаружили около 350 инфекций-или чуть более 10%.
В то время как хакеры SolarWinds заражали организации всех размеров, многие из последней партии жертв-это малый и средний бизнес и местные правительственные учреждения. Организации, которые могут быть наиболее затронуты, - это те, у которых есть почтовый сервер, на котором работает уязвимое программное обеспечение и который открыт непосредственно для интернета, а это рискованная установка, которой обычно избегают более крупные организации. Небольшие организации “уже борются из-за отключения Covid-это усугубляет и без того плохую ситуацию”, - сказал Джим Макмерри, основатель Milton Security Group Inc., службы мониторинга кибербезопасности в Южной Калифорнии. “Я знаю из работы с несколькими клиентами, что это отнимает много времени, чтобы выследить, очистить и убедиться, что они не были затронуты за пределами первоначального вектора атаки.” Макмерри сказал, что проблема “очень плохая”, но добавил, что ущерб должен быть несколько смягчен тем фактом, что “это было исправимо, это было исправимо.” Microsoft заявила, что клиенты, использующие ее облачную почтовую систему, не пострадают.
Использование автоматизации для запуска очень сложных атак может ознаменовать новую, пугающую эру в кибербезопасности, которая может сокрушить ограниченные ресурсы защитников, заявили несколько экспертов. Некоторые из первоначальных инфекций, по-видимому, были результатом автоматического сканирования и установки вредоносных программ, сказал Алекс Стамос, консультант по кибербезопасности. Следователи будут искать инфекции, которые привели к тому, что хакеры сделали следующий шаг и украли данные-такие как архивы электронной почты-и позже искали в них любую ценную информацию, сказал он. “Если бы я управлял одной из этих команд, я бы снимал электронную почту как можно быстрее без разбора, а затем добывал бы их для золота”, - сказал Стамос.

Кратко. В почтовых серверах Microsoft Exchange нашлись 4 уязвимости нулевого дня, благодаря которым хакеры их легко взломали, получив доступ к электронной почте. Даже установка патча, разработанного Microsoft, только закроет дыры от новых вторжений, но но ничего ни сделает с теми серверами, которые уже взломаны.  Т.к. Россию обвинили в предыдущем взломе, то теперь наступила очередь Китая попасть под обвинения. Доказывать ничего не нужно, хайли-лайкли достаточно.
P.S. Для не программистов. "Уязвимость нулевого дня" - это "дырка" в ПО, о которой ранее ничего не было известно разработчику (в данном случае - Микрософт).