Более 60 тыс. компаний пострадали в результате масштабной хакерской атаки через взлом из-за уязвимости в программе Exchange Server. Однако корпорация Microsoft узнала об уязвимости серверов за два месяца до происшествия, и особо не спешила с исправлением.
собрало информацию о пострадавших, виновных и возможных последствиях.
Кто пострадал
Более чем 20 тыс. компаний из США и десятки тысяч компаний из Европы и Азии пострадали от масштабной хакерской атаки, сообщает Reuters. Всего, по данным Bloomberg, потерпело не менее 60 тыс. компаний. Одной из последних жертв стала Европейская банковская организация EBA.
«Поскольку уязвимость связана с почтовыми серверами EBA, доступ к личным данным через электронные письма, хранящиеся на этих серверах, могли получить злоумышленники. EBA работает над тем, чтобы определить, к каким данным был осуществлен доступ», – прокомментировали там и добавили, что в качестве меры предосторожности EBA отключит свои почтовые системы.
Еще среди числа пострадавших – банки, поставщики электроэнергии, дома престарелых и даже компания по производству мороженого. Компания по кибербезопасности, пожелавшая остаться анонимной, сообщила, что только ее эксперты работали минимум с 50 жертвами.
«Мы предпринимаем ответные меры для оценки и устранения последствий. Угроза сохраняется и развивается, поэтому мы призываем операторов интернет-сетей отнестись к ней очень серьезно», — прокомментировал ситуацию представитель Белого дома, подтвердив тем самым озабоченность американских властей кибератакой. А пресс-секретарь Белого дома Джен Псаки добавила, что речь идет о серьезной уязвимости, которая продолжает представлять угрозу.
Данных о пострадавших в Украине пока нет. К 2 марта 2021 года Microsoft выпустил обновления безопасности для пользователей Exchange Server и настоятельно рекомендовал немедленно их применить. Особо важно установить обновления тем, кто использует локальную версию Microsoft Exchange Server 2010, 2013, 2016 или 2019.
К 5 марта обновление установили только на 10% устройств, подвергшихся атаке. После этого в компании заявили, что работают с правительственными агентствами и компаниями для обеспечения безопасности клиентам.
Кто виноват
Корпорация Microsoft сообщила о кибератаке 2 марта 2021 года. Кибератака произошла из-за уязвимости в программе для обмена сообщениями Exchange Server. Согласно сообщению, взлом произошел из-за хакеров Hafnium, за которыми стоят китайские власти. Власти Китая отрицают свою причастность.
Хакеры совершали атаки несколько месяцев, однако в меньших масштабах. Уже после автоматизации процессов, жертвы кибератаки стали исчисляться десятками тысяч. Но ранее, 31 декабря 2020 года, тайваньская организация обнаружила уязвимость в серверах Microsoft. Об уязвимости сообщили 5 января 2021 года, а уже 6 января ее стали использовать в Hafnium. Специалисты считают, что вначале хакеры атаковали наиболее значимые цели, в том числе правительственные сети. Уже после того, как уязвимость обнаружили, они автоматизировали атаки и расширили масштабы.
Группировка Hafnium нацелена на организации в США с целью кражи информации из ряда секторов промышленности, включая исследователей инфекционных заболеваний, юридические фирмы, высшие учебные заведения, оборонных подрядчиков, аналитические центры и неправительственные организации. Несмотря на то, что Hafnium находится в Китае, он осуществляет свою деятельность в основном с арендованных виртуальных частных серверов (VPS) в Соединенных Штатах. По данным Microsoft, последнее время Hafnium участвовал в ряде атак с применением ранее неизвестных фрагментов кода, которые используют уязвимости программ. Они были нацелены на локальное программное обеспечение Exchange Server.
Атаки состояли из трех этапов: вначале злоумышленники получили доступ к серверу Exchange либо с помощью украденных паролей, либо с помощью уязвимостей, которые не обнаружили раньше. Далее создали так называемую веб-оболочку для удаленного управления взломанным сервером. И после использовали удаленный доступ с частных серверов в США для кражи данных из сети организации.
Не первая киберугроза
Hafnium является не единственной угрозой. По состоянию на 6 марта 2021 года, минимум 5 хакерских группировок использовали для атак Exchange Server.
Стремительно нарастающая кибератака произошла через несколько месяцев после взлома через программное обеспечение компании SolarWinds Corp. Речь идет о кибератаке на госучреждения США: Госдепартамент, министерства финансов, торговли и энергетики и, частично, Пентагон. По данным The Washington Post, виновной в атаке является группировка Cozy Bear (или APT29), которую связывают с ФСБ и СВР России. Москва свою причастность отрицает.
«Результатом является второй кризис кибербезопасности, наступающий всего через несколько месяцев после того, как подозреваемые российские хакеры взломали девять федеральных агентств и не менее 100 компаний с помощью поддельных обновлений от производителя программного обеспечения для управления ИТ SolarWinds LLC. Эксперты по кибербезопасности, которые защищают мировые компьютерные системы, выражают растущее чувство разочарования и истощения», – пишет Bloomberg.
Вашингтон готовит серьезные шаги в ответ на иностранное вторжение в течение следующих трех недель. Планируется серия тайных акций в российских сетях, которые нацелены на то, чтобы послать сигнал Владимиру Путину и его спецслужбам. Еще сообщается о возможных экономических санкциях в сторону России. По данным New York Times, президент США Джо Байден может издать указ о защите федеральных агентств от взлома со стороны России.