В минувшую пятницу журналисты по вопросам кибербезопасности Брайан Кребс и Энди Гринберг сообщили, что в результате беспрецедентного взлома почтового сервера было скомпрометировано около 30 тыс. организаций. Предполагается, что за атакой стоит поддерживаемая китайским правительством хакерская группировка, известная как Hafnium.
Более того, на протяжении выходных количество пострадавших организаций по всему миру увеличилось уже до 60 тыс. В число жертв даже вошла Европейская банковская организация (EBA). Все пострадавшие компании и организации были клиентами Microsoft Exchange Server.
Судя по всему, в столь масштабной компрометации нужно винить не только китайских хакеров, но и корпорацию Microsoft, которая была осведомлена об уязвимости в Microsoft Exchange Server, но не спешила с её исправлением. Брайан Кребс составил базовый график масштабного взлома Exchange Server. По его словам, Microsoft подтвердила, что ей стало известно об уязвимости ещё в начале января этого года – примерно за два месяца до фактической атаки и выпуска патчей. Лишь 2 марта Microsoft выпустила свой первый набор исправлений вместе с публикацией в блоге, в которой не объяснялись масштабы атаки (сама атака началась ещё в последних числах февраля). Первоначально компания даже планировала дождаться одного из своих стандартных вторников патчей, чтобы выпустить обновление, но всё же выпустила исправления на неделю раньше.
По данным аналитиков в сфере кибербезопасности, китайская группировка Hafnium является не единственной угрозой. Отмечается, что по состоянию на субботу, по крайней мере, 5 хакерских групп активно использовали уязвимости Exchange Server. Правительственные чиновники изо всех сил пытаются что-то сделать с данной проблемой. В частности, пресс-секретарь Белого дома Джен Псаки назвала сложившуюся ситуацию «активной угрозой», обратив внимания на чрезвычайную директиву, которую агентство по кибербезопасности Министерства внутренней безопасности разослало 3 марта. Схожие заявления сделали и другие американские чиновники.
This is the real deal. If your organization runs an OWA server exposed to the internet, assume compromise between 02/26-03/03. Check for 8 character aspx files in C:\\inetpub\wwwroot\aspnet_client\system_web\. If you get a hit on that search, you’re now in incident response mode. https://t.co/865Q8cc1Rm
— Chris Krebs (@C_C_Krebs) March 5, 2021
На текущий момент проявлять особое внимание нужно тем организациям, которые установили локальную версию Microsoft Exchange Server 2010, 2013, 2016 или 2019. Им нужно установить обновление от Microsoft и проверить систему на наличие 8-символьных файлов aspx в каталоге C:\inetpub\wwwroot\aspnet_client\system_web. Однако масштаб ущерба всё ещё предстоит оценить, так как хакеры установили вредоносное ПО, которое может позволить им снова вернуться на эти серверы. Microsoft сотрудничает с правительственными агентствами, но пока не называет сроки выхода полных исправлений.
Источник: The Verge