Microsoft раскрывает китайский взлом, нацеленный на Microsoft Exchange

Microsoft раскрыла доказательства того, что новая китайская хакерская группа «Hafnium» нацелена на американские серверы, на которых работает система электронной почты Microsoft.

После взлома Министерства финансов США в 2020 году, связанного с взломом учетных записей Microsoft Office, Microsoft раскрыла отдельную атаку на свои системы. Организованная группой Microsoft под кодовым названием «Hafnium», она описывается как «высококвалифицированная и изощренная» атака.

«Сегодня мы делимся информацией о спонсируемом государством субъекте угрозы, идентифицированном Microsoft Threat Intelligence Center (MSTIC), который мы называем Hafnium», — говорится в сообщении Microsoft в блоге. «Hafnium работает из Китая, и мы впервые обсуждаем его деятельность. Это высококвалифицированный и искушенный деятель».

Гафний — не связанный с материалом, используемым в процессорах Intel, — базируется в Китае. Однако «он выполняет свои операции преимущественно с арендованных виртуальных частных серверов (VPS) в Соединенных Штатах».

«В последнее время Hafnium участвовал в ряде атак с использованием ранее неизвестных эксплойтов, нацеленных на локальное программное обеспечение Exchange Server, — продолжает Microsoft. «Во-первых, он получит доступ к серверу Exchange либо с помощью украденных паролей, либо с помощью ранее не обнаруженных уязвимостей, чтобы замаскироваться под кого-то, у кого должен быть доступ».

«Во-вторых, он создаст так называемую веб-оболочку для удаленного управления скомпрометированным сервером», — говорится в объявлении. «В-третьих, он будет использовать этот удаленный доступ с частных серверов в США для кражи данных из сети организации».

Microsoft заявляет, что она «быстро развернула обновление» для устранения «эксплойтов Hafnium». Однако в нем также говорится, что метод атаки нацелен только на бизнес-клиентов.

«Мы настоятельно рекомендуем всем клиентам Exchange Server немедленно применить эти обновления», — говорится в нем. «Exchange Server в основном используется бизнес-клиентами, и у нас нет доказательств того, что деятельность Hafnium нацелена на отдельных потребителей или что эти эксплойты влияют на другие продукты Microsoft».

Microsoft также сообщает, что проинформировала «соответствующие правительственные агентства США об этой деятельности».

По данным компании, это восьмой раз за год, когда она выявляет и раскрывает «группы национальных государств, нацеленные на институты, критически важные для гражданского общества». Хотя все это касалось корпораций, а не отдельных лиц, ранее в Microsoft Office были уязвимости, которые затрагивали пользователей Mac.