Хакерская группа Hafnium в Китае якобы взломала не менее 30 000 организаций в США с помощью Microsoft Exchange Server, причем группа, как сообщается, увеличила свою активность после первых сообщений о взломе.
В среду Microsoft обнародовала доказательства того, что китайская хакерская группа Hafnium атаковала серверы в США и по всему миру с помощью Microsoft Exchange Server. Microsoft также выпустила экстренные исправления безопасности, чтобы закрыть четыре дыры в безопасности, влияющие на Exchange Server версий с 2013 по 2019 год, которые использовались группой.
К субботе намеки на масштабы хакерской активности указали, что она была широкомасштабной и масштабной.
Согласно источнику Reuters, в пятницу от атаки пострадали более 20 000 организаций США. Однако два анонимных эксперта по кибербезопасности, которые проинформировали советников по национальной безопасности США об атаке, сказали KrebsOnSecurity, что их число намного выше и превышает 30 000 организаций.
Кроме того, несмотря на выпуск исправлений, эксперты утверждают, что группа активизировала свои атаки, стремясь получить доступ к незащищенным серверам Exchange. В глобальном масштабе атака затронула «сотни тысяч» серверов.
Хотя это и не подтверждено, похоже, что массовый взлом имеет больший масштаб, чем у SolarWinds. Считается, что более 18 000 организаций могли пострадать от взлома программного обеспечения для управления сетью.
Даже если организации применили исправление, есть вероятность, что они все еще могут быть затронуты. В рамках взлома группа оставляет установленной «веб-оболочку», инструмент взлома, доступный из браузера, который обеспечивает административный доступ к серверам.
Организации, применяющие исправления, могут предотвратить взлом, но веб-оболочка все еще может присутствовать в системе, если они были взломаны ранее.
Утверждается, что жертвами, все еще использующими веб-оболочку, являются тысячи американских организаций, в том числе финансовые учреждения, благотворительные и некоммерческие организации, а также сотрудники служб экстренной помощи.
«Даже если вы установили исправления в тот же день, когда Microsoft опубликовала свои исправления, все равно высока вероятность того, что на вашем сервере есть веб-оболочка», — сказал президент компании по безопасности Volexity Стивен Адэр. «По правде говоря, если вы используете Exchange и еще не исправили его, очень высока вероятность того, что ваша организация уже взломана».
Масштаб взломов привел к тому, что Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) издало чрезвычайную директиву, предписывающую федеральным департаментам и агентствам обновить свои серверы Microsoft Exchange или отключить серверы. Пресс-секретарь Белого дома также предупредил, что уязвимости «могут иметь далеко идущие последствия, поскольку опасаются, что может быть» большое количество жертв «.
