Китайских хакеров обвиняют в массовом взломе Microsoft Server

Обновлено 27.09.2023

Взлом, который, как считается, первоначально был нацелен на аналитические центры США, в конечном итоге скомпрометировал сотни тысяч предприятий и организаций. Жертвы глобального взлома программного обеспечения почтового сервера Microsoft Exchange, количество которых, по оценкам специалистов по кибербезопасности, исчисляется десятками тысяч, в понедельник поспешили поддержать зараженные системы и попытаться уменьшить шансы того, что злоумышленники могут украсть данные или создать помехи в их сетях.

Белый дом назвал взлом "активной угрозой" и сказал, что высшие должностные лица национальной безопасности занимаются ее устранением. Взлом был обнаружен в начале января и приписан китайским кибершпионам, нацеленным на аналитические центры США. Затем, в конце февраля, за пять дней до того, как Microsoft выпустила патч 2 марта, произошел взрыв проникновения других злоумышленников, совмещающих первоначальное нарушение. Жертвы работают в самых разных организациях, которые используют серверы электронной почты, от розничных продавцов семейных товаров до юридических фирм, муниципальных органов власти, поставщиков медицинских услуг и производителей.

Хотя взлом не представляет собой такой угрозы национальной безопасности, как более изощренная кампания SolarWinds, в которой администрация Байдена обвиняет российских разведчиков, она может представлять собой реальную угрозу для жертв, которые не установили патч вовремя и теперь имеют хакеры, оставшиеся в их системах. Взлом представляет собой новую проблему для Белого дома, который, даже когда он готовится отреагировать на взлом SolarWinds, теперь должен бороться с серьезной и совершенно иной угрозой со стороны Китая.

"Я бы сказал, что это серьезная угроза экономической безопасности, потому что очень многие небольшие компании могут буквально уничтожить свой бизнес из-за целевой атаки вымогателя", - сказал Дмитрий Альперович, бывший технический директор компании CrowdStrike, занимающейся кибербезопасностью.

Он обвиняет Китай в глобальной волне инфекций, начавшейся 26 февраля, хотя другие исследователи говорят, что еще слишком рано их приписывать. По словам Альперовича, остается загадкой, как эти хакеры узнали о первоначальном взломе, потому что об этом не знал никто, кроме нескольких исследователей.

После того, как патч был выпущен, началась третья волна заражений, накапливающаяся, как правило, в таких случаях, потому что Microsoft доминирует на рынке программного обеспечения и предлагает единую точку атаки.

Аналитики по кибербезопасности, пытающиеся составить полную картину взлома, заявили, что их анализ совпадает с цифрой 30 000 жертв в США, опубликованной в пятницу блоггером по кибербезопасности Брайаном Кребсом. Альперович сказал, что в мире насчитывается около 250 000 жертв. Microsoft отказалась сообщить, сколько клиентов, по ее мнению, заражено. Дэвид Кеннеди, генеральный директор компании TrustedSec, занимающейся кибербезопасностью, сказал, что сотни тысяч организаций могли быть уязвимы для взлома.

"Любой, у кого был установлен Exchange, был потенциально уязвим", - сказал он. "Это не все, но большая их часть".

Кэти Никелс, директор по разведке компании Red Canary, занимающейся кибербезопасностью, предупредила, что установки исправлений будет недостаточно для защиты уже зараженных. "Если вы исправите сегодня, это защитит вас в будущем, но если злоумышленники уже находятся в вашей системе, вам нужно позаботиться об этом", - сказала она.

По словам исследователей, меньшее количество организаций подверглось первоначальному вторжению со стороны хакеров, которые захватили данные, украли учетные данные или исследовали внутренние сети, IP-адреса, DNS и так далее и оставили лазейки в университетах, оборонных подрядчиках, юридических фирмах и центрах исследования инфекционных заболеваний. Среди тех, с кем работал Кеннеди, - производители, обеспокоенные кражей интеллектуальной собственности, больницы, финансовые учреждения и поставщики управляемых услуг, которые размещают несколько сетей компаний.

«По шкале от одного до 10 это 20, - сказал Кеннеди. «По сути, это был ключ к открытию любой компании, в которой был установлен этот продукт Microsoft».

В ответ на просьбу прокомментировать посольство Китая в Вашингтоне указало на высказывания на прошлой неделе официального представителя МИД Ван Вэньбиня о том, что Китай «решительно противостоит кибератакам и кибер-кражам во всех формах и борется с ними», и предупредил, что приписывание кибератак должно основываться на доказательствах, а не на  безосновательные обвинения.

Взлом не повлиял на облачные системы электронной почты и совместной работы Microsoft 365, которые предпочитают компании из списка Fortune 500 и другие организации, которые могут позволить себе качественную безопасность. Это подчеркивает то, что некоторые в отрасли жалуются на два класса вычислений - безопасность "имущих" и "неимущих".

Бен Рид, директор по анализу в Mandiant, сказал, что компания, занимающаяся кибербезопасностью, не видела, чтобы кто-то использовал взлом для получения финансовой выгоды, "но для тех, кто пострадал, время имеет существенное значение с точки зрения решения этой проблемы".

Для многих жертв это легче сказать, чем сделать. У многих есть костяк ИТ-персонала, и они не могут позволить себе экстренное реагирование на кибербезопасность, не говоря уже об осложнениях пандемии.

Устранить проблему не так просто, как нажать кнопку обновления на экране компьютера. Это требует обновления всей так называемой "Active Directory" организации, которая каталогизирует пользователей электронной почты и их соответствующие привилегии.

«Отказ от вашего почтового сервера - непростая задача, - сказал Альперович, возглавляющий некоммерческий аналитический центр Silverado Policy Accelerator.

Тони Коул из Attivo Networks сказал, что огромное количество потенциальных жертв создает идеальную «дымовую завесу» для хакеров национального государства, чтобы скрыть гораздо меньший список предполагаемых целей, связав и без того перегруженных чиновников службы кибербезопасности. «Не хватает групп реагирования на инциденты, чтобы справиться со всем этим».

Многие эксперты были удивлены и озадачены тем, как группы бросились заражать серверные установки незадолго до выпуска патча Microsoft. Кеннеди из TrustedSec сказал, что Microsoft потребовалось слишком много времени, чтобы выпустить патч, хотя он не думает, что ей следовало уведомить людей об этом до того, как патч был готов.

Стивен Адэр из фирмы Volexity, занимающейся кибербезопасностью, которая предупредила Microsoft о первом вторжении, описал "массовую неизбирательную эксплуатацию", которая началась за выходные до выпуска патча и включала группы из "многих разных стран, включая преступников".

Агентство инфраструктуры кибербезопасности и безопасности выпустило срочное предупреждение о взломе в прошлую среду, и советник по национальной безопасности Джейк Салливан написал об этом в твиттере в четверг вечером. Но Белый дом еще не объявил о какой-либо конкретной инициативе по реагированию.