Microsoft обвинила Китай в хакерской атаке на американские ведомства

Microsoft призвала своих клиентов срочно установить внеочередной патч, чтобы защититься от группы профессиональных хакеров, поддерживаемых правительством Китая, сообщает портал Ars Technica. 

Сообщается, что внутри сервиса для обмена сообщениями и совместной работы Microsoft Exchange Server, широко используемого в корпоративном сегменте, были обнаружены четыре уязвимости нулевого дня. Ими уже попытались воспользоваться хакеры группировки Hafnium, которых якобы спонсирует Пекин.

Участники Hafnium, которых Microsoft называет «высококвалифицированными и изощренными» хакерами, атаковали ряд американских ведомств, организаций, вузов, правительственных подрядчиков, НКО и аналитических центров с целью кражи секретных данных.

Пока Hafnium — единственная группировка, которая воспользовалась уязвимостями в Exchange Server, но ситуация может очень быстро усугубиться, предупреждают в Microsoft.

«Несмотря на то, что мы очень быстро выпустили обновление против эксплойтов Hafnium, мы знаем, что многие криминальные группы, поддерживаемые на государственном уровне, попытаются воспользоваться существующими уязвимостями. Оперативная установка актуального патча поможет вам оградить себя от кибератак», — заявил  корпоративный вице-президент Microsoft по безопасности и доверию Том Берт.

Опасность данного вида уязвимостей в том, что сообщество специалистов по информационной безопасности еще ни разу не встречало подобные бреши, рассказывает «Газете.Ru» Даниил Чернов, директор центра Solar appScreener компании «Ростелеком-Солар».

«Обнаруженные уязвимости в Microsoft Exchange позволяют получить полный контроль над Exchange Server, который управляет такими сервисами, как почта, календари, задачи и т.д. Так, серверная уязвимость CVE-2021-26855 позволяет атакующему отправить модифицированный http-запрос и пройти аутентификацию в Microsoft Exchange. При получении прав доступа администратора к Exchange Server у злоумышленника открывается огромное поле возможностей для проведения успешных атак. Хакер может перехватить документы с коммерческой тайной, которыми обмениваются сотрудники, и шантажировать компанию, требуя выкуп.

Также у злоумышленника открывается возможность отправки писем от лица любого сотрудника.

Например, от лица генерального директора хакер может попросить бухгалтера провести крупную транзакцию на необходимый ему счет или попросить руководителей департамента срочно передать ему какие-либо данные. Если компания ожидает платеж, хакер может от лица сотрудника написать клиенту об изменении реквизитов, подменив реквизиты компании на свои. Сценариев атак и их монетизации очень много», — сообщил Чернов.

Эта атака нацелена на корпорации и государственные учреждения, заявил евангелист по вопросам информационной безопасности Avast Луис Корронс.

«Обычные пользователи не используют Microsoft Exchange Server, поэтому они в безопасности. Злоумышленники могут получить доступ к данным любой компании, которая использует Exchange Server и не установила патчи, и захватить всю хранящуюся на сервере информацию. Более того, хакеры могут перемещаться по сети, что может привести к всевозможным атакам на все компьютеры в сети, к массовой утечке данных и т.д.», — предупреждает эксперт.

Основная опасность найденных уязвимостей заключается в том, что злоумышленники могут долго оставаться на сервере незамеченными, поэтому оперативная установка новых исправлений очень важна, поясняет Никита Дуров, технический директор Check Point Software Technologies в России. Обнаружить такие атаки позволят системы обнаружения вторжений, которые смогут заблокировать аномальную сетевую активность.

«Ранее Hafnium уже успешно эксплуатировали уязвимости нулевого дня, в основном — с целью кражи данных американских компаний. На данный момент группировка особенно активно атакует организации из сфер медицины, обороны и образования», — сообщил Дуров.