Một cuộc tấn công lớn của một đơn vị gián điệp mạng Trung Quốc
Chuyên gia an ninh mạng Brian Krebs tiết lộ trên blog của mình rằng ít nhất 30.000 tổ chức của Mỹ, bao gồm các doanh nghiệp nhỏ, thành phố và chính quyền địa phương, đã bị tấn công trong những ngày gần đây, có lẽ là bởi một nhóm tin tặc được cho là được nhà nước Trung Quốc hậu thuẫn. Các cuộc tấn công sẽ được thực hiện trên khắp thế giới, vì vậy cuối cùng hàng trăm nghìn tổ chức có thể trở thành nạn nhân.
Thật vậy, nhóm hack này đã tận dụng lợi thế của 4 gần đây đã phát hiện ra lỗ hổng trong máy chủ thư Microsoft Exchange nhằm đánh cắp dữ liệu của người dùng chuyên nghiệp. Sau khi Microsoft phát hành bản cập nhật bảo mật khẩn cấp gần đây, tin tặc đã tăng cường các cuộc tấn công nhằm vào các máy chủ Exchange trên khắp thế giới vẫn còn lỗ hổng chưa được vá.
Nhóm này được cho là có tên là “Hafnium” và theo Microsoft, trước đây họ đã thực hiện “các cuộc tấn công có chủ đích vào hệ thống email được sử dụng bởi một loạt các lĩnh vực công nghiệp, bao gồm các nhà nghiên cứu bệnh truyền nhiễm, công ty luật, tổ chức y tế và tổ chức y tế. “giáo dục đại học, các công ty quốc phòng, các tổ chức tư vấn chính sách và các tổ chức phi chính phủ. »
Tác động gì đến các công ty bị tấn công?
Đối với mỗi máy chủ Exchange bị tấn công, tin tặc để lại một “web shell” (mã đóng gói trong phiên bản tiếng Pháp). Đây là một công cụ hack dễ sử dụng, được bảo vệ bằng mật khẩu, có thể truy cập từ bất kỳ trình duyệt nào, cung cấp quyền truy cập quản trị vào máy chủ máy tính của các công ty nạn nhân.
Steven Adair, chủ tịch của Volexity, một công ty chuyên về bảo mật, cảnh báo chống lại các hành động do nhóm tin tặc này thực hiện và giải thích về chủ đề này: “ngay cả khi bạn cập nhật cùng ngày mà Microsoft công bố các bản vá lỗi của mình, thì vẫn luôn có lợi. khả năng là có một “web shell” trên máy chủ của bạn. Sự thật là, nếu bạn đang chạy Exchange và chưa sửa lỗi này, rất có thể tổ chức của bạn đã bị xâm phạm. »
Jen Psaki, thư ký báo chí Nhà Trắng, cho biết các cuộc tấn công là “đáng kể” và “có thể có tác động sâu rộng”, nói thêm rằng chính phủ lo ngại về số lượng thương vong có thể đáng kể.
Những lựa chọn bảo vệ nào cho các tổ chức?
Người phát ngôn của Microsoft cho biết “cách bảo vệ tốt nhất là áp dụng các bản cập nhật cho tất cả các hệ thống bị ảnh hưởng càng sớm càng tốt.” Bản cập nhật cho phép bạn chặn 4 các cách khác nhau mà tin tặc sử dụng để đột nhập vào máy chủ. Người phát ngôn cho biết thêm rằng những khách hàng bị ảnh hưởng nên liên hệ với nhóm hỗ trợ của họ để được hỗ trợ thêm và cung cấp tài nguyên.
Chris Krebs, cựu lãnh đạo Cơ quan An ninh mạng và An ninh cơ sở hạ tầng, kêu gọi các tổ chức kiểm tra xem họ có bị tấn công hay không, trong một tweet trả lời cố vấn an ninh quốc gia Nhà Trắng Jack Sullivan.
Dòng tweet được đề cập: “Đó là thực tế. Nếu tổ chức của bạn duy trì một máy chủ OWA hướng tới Internet, hãy giả sử sự cân bằng giữa 2/26 và 3/3. Kiểm tra sự hiện diện của tệp aspx 8 ký tự trong C: \\ inetpub \ wwwroot \ aspnet_client \ system_web \. Nếu bạn nhận được phản hồi tích cực cho tìm kiếm này, bạn hiện đang ở chế độ ứng phó sự cố. »
Đây là thỏa thuận thực sự. Nếu tổ chức của bạn chạy một máy chủ OWA được tiếp xúc với internet, hãy giả định sự thỏa hiệp trong khoảng thời gian từ 02 / 26-03 / 03. Kiểm tra 8 các tệp aspx ký tự trong C: \\ inetpub \ wwwroot \ aspnet_client \ system_web \. Nếu bạn gặp phải vấn đề về tìm kiếm đó, bạn hiện đang ở chế độ phản hồi sự cố. https://t.co/865Q8cc1Rm
– Chris Krebs (@C_C_Krebs) Tháng 3 5Năm 2021
CISA (Cơ quan An ninh mạng & Cơ sở hạ tầng) ở Hoa Kỳ cũng đã ban hành chỉ thị khẩn cấp cho các bộ phận liên bang đang chạy máy chủ Microsoft Exchange phải tuân theo. Mục tiêu: cập nhật phần mềm của họ và ngắt kết nối các sản phẩm liên quan khỏi mạng của họ.
Microsoft đã nói rõ rằng các cuộc tấn công của nhóm “Hafnium” không hề liên quan đến các cuộc tấn công của SolarWinds, có thể được dàn dựng bởi một nhóm tình báo Nga.
