Ποιος κρύβεται πίσω από την κυβερνοεπίθεση στους λογαριασμούς email της Microsoft

Πριν από μια εβδομάδα, η Microsoft αποκάλυψε ότι Κινέζοι χάκερς απέκτησαν πρόσβαση σε εταιρικούς λογαριασμούς ηλεκτρονικού ταχυδρομείου μέσω μιας ευπάθειας στο λογισμικό email του Exchange Server και προχώρησε σε ενημερώσεις ασφαλείας για την αντιμετώπιση του προβλήματος.

Η κυβερνοεπίθεση πιθανότατα θα αποτελέσει ένα από τα κορυφαία περιστατικά κυβερνοασφάλειας της φετινής χρονιάς, διότι το Exchange εξακολουθεί να χρησιμοποιείται ευρέως σε όλο τον κόσμο, οπως αναφέρει το CNBC. Θα μπορούσε επίσης να ωθήσει τις εταιρείες να επενδύσουν περισσότερο σε λογισμικό ασφαλείας για να αποτρέψουν μελλοντικές κυβερνοεπιθέσεις, αλλά και να στραφούν σε cloud λύσεις ηλεκτρονικού ταχυδρομείου αντί να διαθέτουν δικούς τους διακομιστές ηλεκτρονικής αλληλογραφίας.

Τα τμήματα πληροφορικής των εν λόγω επιχειρήσεων και οργανισμός έχουν επιδοθεί σε έναν αγώνα δρόμου για την ενσωμάτωση των ενημερώσεων ασφαλείας της Microsoft, όμως η διαδικασία απαιτεί χρόνο.

Εν τω μεταξύ, τη Δευτέρα, η εταιρεία ασφάλειας διαδικτύου Netcraft ανέφερε ότι σε ανάλυση που πραγματοποίησε το Σαββατοκύριακο παρατήρησε περισσότερους από 99.000 διακομιστές να εκτελούν μη συνδεδεμένο λογισμικό Outlook Web Access.

Η μετοχή της Microsoft έχει σημειώσει πτώση 1,3% από την 1η Μαρτίου, μία ημέρα δηλαδή πριν η εταιρεία αποκαλύψει το θέμα, την ώρα που ο δείκτης S&P 500 έχει υποχωρήσει κατά 0,7% την ίδια περίοδο.

Τι συνέβη

Στις 2 Μαρτίου, η Microsoft ανακοίνωσε ότι εντοπίστηκαν τρωτά σημεία στο λογισμικό αλληλογραφίας και ημερολογίου Exchange Server που χρησιμοποιείται σε εταιρικά και κυβερνητικά κέντρα δεδομένων. Η εταιρεία κυκλοφόρησε άμεσα ενημερωμένες εκδόσεις ασφαλείας για τις εκδόσεις 2010, 2013, 2016 και 2019 του Exchange.

Συνήθως, η Microsoft κυκλοφορεί νέες ενημερώσεις κάθε δεύτερη Τρίτη έκαστου μήνα, ωστόσο στην συγκεκριμένη περίπτωση προέβη στην ανακοίνωση και στην κυκλοφορία των ενημερώσεων την πρώτη Τρίτη του Μαρτίου, γεγονός που τονίζει το μέγεθος του προβλήματος.

Επιπλέον, η εταιρεία προέβη σε μια ασυνήθιστη κίνηση, εκδίδοντας ενημέρωση ασφαλείας και για την έκδοση 2010 του Exchange, παρότι έχει σταματήσει την υποστήριξη για την εν λόγω έκδοση από τον Οκτώβριο. “Αυτό σημαίνει ότι τα τρωτά σημεία που εκμεταλλεύτηκαν οι εισβολείς βρίσκονται στον κώδικα του Microsoft Exchange Server για περισσότερα από 10 χρόνια”, έγραψε ο blogger ασφαλείας Brian Krebs σε ανάρτησή του τη Δευτέρα.

Οι χάκερς, όπως αναφέρει ο Krebs, αρχικά είχαν συγκεκριμένους στόχους, αλλά τον Φεβρουάριο άρχισαν να αναζητούν περισσότερους διακομιστές με το ευάλωτο λογισμικό που θα μπορούσαν να χτυπήσουν.

Σύμφωνα με τη Microsoft, αυτή που κυρίως εκμεταλλεύτηκε τα τρωτά σημεία είναι μια ομάδα που αποκαλείται Hafnium και εδρεύει στην Κίνα.

Πότε ξεκίνησαν οι επιθέσεις

Οι επιθέσεις στο λογισμικό Exchange ξεκίνησαν στις αρχές Ιανουαρίου, σύμφωνα με την εταιρεία ασφαλείας Volexity, η οποία εντόπισε κάποια προβλήματα και ενημέρωση τη Microsoft.

Πώς γίνεται η επίθεση

Ο Tom Burt, αντιπρόεδρος της Microsoft, σε ανάρτησή του στο blog της εταιρείας την προηγούμενη εβδομάδα, ανέφερε ότι σε πρώτη φάση οι χάκερς αποκτούν πρόσβαση στον Exchange Server είτε με κλεμμένους κωδικούς πρόσβασης είτε χρησιμοποιώντας τις ευπάθειες που δεν είχαν ανακαλυφθεί προηγουμένως, στη συνέχεια δημιουργούν ένα “κέλυφος ιστού” για τον έλεγχο του διακομιστή από απόσταση και μετέπειτα χρησιμοποιούν την πρόσβαση για να κλέψουν δεδομένα από το δίκτυο ενός οργανισμού.

Όπως ανακοίνωσε, εξάλλου, η Microsoft οι εισβολείς εγκατέστησαν και χρησιμοποίησαν λογισμικό για τη κλοπή δεδομένων ηλεκτρονικού ταχυδρομείου.

Ωστόσο, όπως σημείωσε, η Microsoft οι ευπάθειες δεν επηρεάζουν το Exchange Online, την υπηρεσία ηλεκτρονικού ταχυδρομείου και ημερολογίου που βασίζεται στο cloud και περιλαμβάνεται στα πακέτα συνδρομών Office 365 και Microsoft 365.

Οι στόχοι των εισβολέων

Στόχος των χάκερς ήταν η κλοπή πληροφοριών από εργολάβους άμυνας, σχολεία και άλλες οντότητες των ΗΠΑ, σύμφωνα με τον Burt. Στα “θύματα” της επίθεσης περιλαμβάνονται επίσης αμερικανικές εταιρείες λιανικής πώλησης, σύμφωνα με την εταιρεία ασφαλείας FireEye, καθώς και τα αρχεία της πόλης Lake Worth Beach στη Φλόριντα, σύμφωνα με την Palm Beach Post. 

Επίσης, η Ευρωπαϊκή Αρχή Τραπεζών είπε ότι δέχθηκε κυβερνοεπίθεση.

Ο ακριβής αριθμός των θυμάτων δεν είναι γνωστός, με τα μέσα ενημέρωσης να κάνουν διάφορες εκτιμήσεις. Ωστόσο, την Παρασκευή, η Wall Street Journal, επικαλούμενη ανώνυμη πηγή, ανέφερε ότι μπορεί να ανέρχονται σε 250.000 ή και περισσότερους.

Τι πρέπει να κάνουν οι πελάτες της Microsoft

Η Microsoft προτρέπει τους πελάτες της να εγκαταστήσουν τις ενημερώσεις ασφαλείας που κυκλοφόρησε την προηγούμενη εβδομάδα. Η εταιρεία έχει επίσης εκδώσει έναν οδηγό για να βοηθήσει τους πελάτες να καταλάβουν εάν τα δίκτυά τους είχαν πέσει θύμα επίθεσης.

“Συνεργαζόμαστε στενά με την CISA [την Υπηρεσία Κυβερνοασφάλειας και Υποδομών Ασφαλείας], άλλες κυβερνητικές υπηρεσίες και εταιρείες ασφαλείας για να διασφαλίσουμε ότι παρέχουμε την καλύτερη δυνατή καθοδήγηση ώστε να μετριαστεί η επίπτωση για τους πελάτες μας”, δήλωσε ένας εκπρόσωπος της Microsoft στο CNBC μέσω ηλεκτρονικού ταχυδρομείου τη Δευτέρα. “Η καλύτερη προστασία είναι η εφαρμογή των ενημερώσεων το συντομότερο δυνατό σε όλα τα συστήματα που επηρεάζονται. Συνεχίζουμε να βοηθούμε τους πελάτες μας παρέχοντας πρόσθετη καθοδήγηση για τη διερεύνηση και τον περιορισμό των επιπτώσεων. Οι πελάτες που επηρεάζονται θα πρέπει να επικοινωνήσουν με τις ομάδες υποστήριξης για επιπλέον βοήθεια και πόρους”, πρόσθεσε ο εκπρόσωπος της εταιρείας.

Πηγή: capital.gr